Revista TrendTIC Ed. N°9
Tendencias Tecnológicas Empresariales para 2017; Entrevista a Isabela Bagueros, Project Manager de Tor y mucho más
Tendencias Tecnológicas Empresariales para 2017; Entrevista a Isabela Bagueros, Project Manager de Tor y mucho más
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
CLOUD<br />
CLOUD<br />
El verdadero<br />
problema de la<br />
infraestructura<br />
cloud...<br />
Durante más de 20 años gestionando<br />
departamentos técnicos he convivido<br />
con el mayor aliado y el mayor enemigo:<br />
“la infraestructura tecnológica”.<br />
Nuestro trabajo se concibe sobre una<br />
infraestructura de servidores, routers,<br />
balanceadores de carga, firewalls, sistemas<br />
de almacenamiento distribuido,<br />
repositorios de configuraciones, sistemas<br />
de monitorización, backup, etc...,<br />
necesarios para dar servicio a nuestras<br />
organizaciones.<br />
Muchos conocéis el lado oscuro. Reinicios,<br />
problemas de hardware, falta<br />
de rendimiento, semanas para adquirir<br />
equipos nuevos, tiempos de instalación,<br />
la guerra interna para que<br />
te aprueben el presupuesto para un<br />
sistema de seguridad “decente”, presión<br />
en tiempos por parte de las unidades<br />
de negocio, falta de definición<br />
de esas áreas... Por ejemplo: Me encanta<br />
cuando el director de marketing<br />
dice: “necesito lanzar un servicio para<br />
un número indeterminado de clientes,<br />
durante un tiempo indefinido y que<br />
esté funcionando en 3 días”. Aguantas<br />
sin parpadear esperando que tu interlocutor<br />
te diga “Tranquilo!! Estoy bromeando!”,<br />
pero tras 20 segundos de<br />
incómodo silencio, ves que no bromea<br />
y pones cara de póker. O mi preferida:<br />
La llamada siempre oportuna,:<br />
“no quiero molestarte hoy sábado a<br />
José Antonio Arribas<br />
COO<br />
GIGAS<br />
las 2:00 AM pero la web no responde”!.<br />
Esta es la realidad de los departamentos<br />
de IT.<br />
La tecnología es fundamental para<br />
el funcionamiento de las empresas,<br />
independientemente de su core business.<br />
Los técnicos necesitamos entender<br />
que esa “caja negra” que gestionamos<br />
a diario y que permite que<br />
nuestra empresa opere con normalidad,<br />
tiene un único objetivo: proporcionar<br />
de forma ágil y eficiente las<br />
herramientas necesarias para que las<br />
organizaciones saquen el máximo provecho<br />
de ellas.<br />
El cloud hosting nace en plena desconexión<br />
entre las montañas de tareas<br />
de las áreas técnicas y las demandas<br />
de las áreas de negocio. No es una<br />
tecnología revolucionaria, sino que la<br />
combinación de conceptos (virtualización<br />
& hosting) y algunos añadidos<br />
(outsourcing, gestión en tiempo real,<br />
pago por uso) es lo que le convierten<br />
en herramienta fundamental para nosotros.<br />
Tradicionalmente los responsables de<br />
IT teníamos que tener infraestructura<br />
sobredimensionada (y muchas veces<br />
sin amortizar), para evitar que la web<br />
responda más lenta, la base de datos<br />
no soporte el tráfico, los clientes se<br />
quejen y la tensión llame a la puerta<br />
del dpto. de IT. Presupuesto para más<br />
recursos, ofertas, firma, envío, instalación...,<br />
2 ó 3 semanas donde no<br />
quieres abrir esa puerta. Y no olvidemos<br />
la costumbre de los elementos<br />
mecánicos de estropearse. Muere el<br />
disco, un kernel panic, y de nuevo la<br />
pregunta: “Es urgente ¿a qué hora<br />
estará solucionado?”<br />
Las áreas de IT no siempre tienen el<br />
protagonismo que merecen. Éste se<br />
consigue haciendo de la infraestructura<br />
una herramienta orientada a apoyar<br />
el negocio. A mi juicio, este es<br />
un cambio de paradigma en el uso y<br />
la gestión de infraestructura. Como<br />
co-fundador y COO de Gigas, referente<br />
de cloud hosting a nivel mundial,<br />
he visto la transformación que nuestros<br />
servicios supone a las empresas.<br />
El cloud hosting permite a las áreas de<br />
IT contratar recursos en tiempo real,<br />
ajustar su tamaño, mejorar la eficiencia<br />
económica con el pago por uso, externalizar<br />
la parte menos interesante<br />
de la infraestructura y mantener total<br />
independencia a la hora de gestionarla<br />
e inclinar aún más la tecnología hacia<br />
el lado del negocio.<br />
Por eso, siendo muy pragmático, encuentro<br />
la respuesta a mi pregunta: el<br />
verdadero problema de la infraestructura<br />
cloud es que no hubiera existido<br />
antes!<br />
11 Medidas<br />
que TI debe<br />
implementar<br />
al adoptar<br />
servicios<br />
Cloud<br />
La habilitación empresarial y la facilidad<br />
de colaboración son algunos de<br />
los tantos beneficios que ofrecen las<br />
aplicaciones de nube; no obstante, la<br />
adopción de estos servicios suele ser<br />
un arma de doble filo. Si bien estos<br />
servicios permiten a los empleados<br />
compartir contenido en forma legítima,<br />
también facilitan el uso compartido<br />
excesivo e involuntario de contenido<br />
o el uso compartido de contenido<br />
con las personas equivocadas. Además,<br />
las aplicaciones de nube introducen<br />
un nuevo vector de amenazas,<br />
dada la gran cantidad de credenciales<br />
que circulan y proveen acceso directo<br />
a los datos fundamentales de la empresa.<br />
Este nuevo vector de amenazas<br />
debe controlarse cuidadosamente.<br />
Planificación de los servicios de<br />
confianza<br />
Los proveedores de servicios de nube<br />
de confianza como Box, Dropbox, Office<br />
365 y Salesforce adhieren a un modelo<br />
de responsabilidad compartida<br />
en materia de seguridad, en el que el<br />
proveedor se compromete a entregar<br />
una infraestructura segura que evite<br />
el acceso a la cuenta sin las credenciales<br />
de acceso a la cuenta autorizadas.<br />
Fundamentalmente proporcionan el<br />
equivalente de las defensas de seguridad<br />
tradicionales, como la prevención<br />
de intrusiones y el control del acceso<br />
tan pronto como habilita el servicio:<br />
una seguridad que comúnmente es<br />
mucho más robusta que cualquier solución<br />
que pudiera crear usted mismo.<br />
No obstante, usted será el responsable<br />
de evitar el uso indebido accidental<br />
o malicioso de las cuentas de usuarios<br />
de su empresa y de proteger los<br />
archivos almacenados y compartidos<br />
contra la filtración de datos. Incluso<br />
los servicios de nube de confianza no<br />
proporcionan funciones de seguridad<br />
para estos fines. Además, lo que agrava<br />
el problema es que el comportamiento<br />
de los usuarios es mucho más<br />
difícil de supervisar y controlar que el<br />
malware común.<br />
Planificación de las aplicaciones que<br />
no son de confianza<br />
Para las miles de aplicaciones que no<br />
son seguras ni de confianza, que ni siquiera<br />
garantizan la seguridad de sus<br />
infraestructuras, las vulnerabilidades<br />
de seguridad básicas como la ausencia<br />
de autenticación de factores múltiples<br />
(MFA) representan un riesgo extremo<br />
para los usuarios y los datos. Por supuesto<br />
que existe una solución sencilla:<br />
simplemente evitar que los empleados<br />
utilicen dichos servicios poco<br />
seguros, en especial debido a que hay<br />
servicios alternativos con mejor seguridad<br />
que proveen la misma funcionalidad.<br />
El secreto es, en primer lugar,<br />
identificar las aplicaciones poco seguras,<br />
bloquearlas y reemplazarlas por<br />
servicios similares seguros.<br />
Administración del factor humano<br />
Ya sea que hablemos de aplicaciones<br />
seguras o poco seguras, los empleados<br />
son el eslabón más débil, debido a<br />
que, sin saberlo, pueden divulgar credenciales<br />
de cuentas a los hackers a<br />
través de ataques de spear phishing,<br />
accidentalmente compartir en exceso<br />
documentos confidenciales con personas<br />
no autorizadas, o robar o dañar<br />
datos intencionalmente cuando renuncian<br />
a la empresa. Y son estos tipos<br />
de actividades las que no se prestan<br />
para las soluciones de seguridad tradicionales.<br />
En cambio, requieren herramientas<br />
mucho más sofisticadas,<br />
como agentes de seguridad de acceso<br />
a la nube (CASB), que aprovechan la<br />
ciencia de datos y el análisis de comportamiento<br />
para comprender de qué<br />
manera se accede a los datos y se<br />
comparten, y quiénes lo hacen, a fin<br />
de crear políticas de uso fundamentales<br />
para proteger a sus usuarios, aplicaciones<br />
y datos en la nube. A continuación,<br />
le presentamos once medidas<br />
que puede implementar para eliminar<br />
los riesgos que plantean sus aplicaciones<br />
y empleados antes de adoptar la<br />
nube; o bien, antes de seguir avanzando,<br />
debido a que probablemente<br />
sus empleados ya hayan adoptado algunas<br />
aplicaciones y servicios de nube<br />
sin la supervisión de TI.<br />
Medida n.º 1: Identifique y evalúe<br />
todas las aplicaciones de nube aprobadas<br />
y no aprobadas en su red extendida.<br />
Medida n.º 2: Defina su estrategia de<br />
gobernabilidad de la nube.<br />
Medida n.º 3: Extienda el control de<br />
políticas de extremo a extremo a las<br />
aplicaciones de nube.<br />
Medida n.º 4: Conozca y controle el<br />
contenido confidencial que sus empleados<br />
comparten.<br />
Medida n.º 5: Cumpla con las leyes<br />
de residencia de los datos de todo el<br />
mundo.<br />
Medida n.º 6: Implemente DLP para<br />
la nube a fin de minimizar el riesgo de<br />
filtración de datos.<br />
Medida n.º 7: Supervise todo el tráfico<br />
de nube de cada usuario, dispositivo<br />
y ubicación.<br />
Medida n.º 8: Otorgue protección<br />
contra el acceso malicioso a sus cuentas<br />
de nube con análisis del comportamiento<br />
de los usuarios.<br />
Medida n.º 9: Implemente la Protección<br />
contra amenazas avanzadas para<br />
resguardarse de las amenazas dirigidas<br />
a su contenido de nube.<br />
Medida n.º 10: Mantenga actualizados<br />
a los ejecutivos en forma mensual<br />
con respecto a las tendencias de la actividad<br />
y la cuenta en nube.<br />
Medida n.º 11: Proporcione un análisis<br />
detallado posterior a incidentes antes<br />
de que ocurra o cuando ocurra una<br />
infracción de seguridad de los datos o<br />
las cuentas.<br />
24 25<br />
Nov. - Dic. 2016 Nov. - Dic. 2016