El riesgo puede ser definido como “la probabilidad de perder algo valioso”. En una empresa, sea cual sea la naturaleza de su negocio, por lejos, el bien más preciado es la información, y el departamento de IT es el custodio de la misma y se espera que haga todo lo posible por garantizar la seguridad e integridad de dicha información.
Estos dos retos, de proteger la información de la empresa y de asegurar su disponibilidad a cualquiera que lo necesite, a cualquier hora, es una tarea muy demandante. Después de todo, estos dos requerimientos están en conflicto.
Para tratar de resolver este conflicto se tiene el concepto del triángulo conocido como CIA (Confidentiality, Integrity and Availability) que se muestra en la figura a continuación. Cuando se aplica correctamente, el triángulo de la CIA asegura que se la institución podrá cumplir los dos objetivos de proteger la información de la empresa y hacerla disponible a todo el que la necesite cuando la necesite.
La pregunta que todo departamento de IT se hace es si es posible asegurar que el Data Center pueda diseñarse de tal manera que se pueda satisfacer los siempre cambiantes requerimientos del negocio sin exponer a la información de la empresa a un riesgo innecesario.
Por ejemplo, los data centers modernos basados en SDCC, el inglés Software Defined Data Centers, utilizan sistemas basados en políticas de tal manera que esas políticas puedan ser aplicadas en una VM (Virtual Machine) particular para asegurar que su información permanezca encriptada y altamente disponible sin importar que la VM se mueva dentro del data center o hacia el Cloud.
La Confidencialidad
Al igual que la privacidad, la confidencialidad típicamente es asegurada implementando un esquema AAA o de autenticación, autorización y accounting. La autenticación asegura que todo el que accede a la información de la empresa sea quien dice ser; la autorización asegura que información puede acceder, y accounting guarda una bitácora sobre qué información de la empresa fue accesada, por quién, y cuándo
Integridad
Esta característica asegura que la información no ha sido modificada por individuos sin autorización, a su vez que sea consistente y precisa. La integridad es conseguida aplicando esquemas de AAA como también esquemas de encriptación. Puesto que la información de la empresa hoy en día se puede mover de un lugar a otro a través de distintos tipos de redes, el asegurar dicha integridad puede ser un trabajo muy exhaustivo.
Disponibilidad
La disponibilidad asegura que la información de la empresa está disponible para ser accedida por los usuarios y aplicaciones cuando la necesiten desde cualquier lugar donde se encuentren.
Otros tipos de riesgos para el negocio
Requerimiento: Continuidad del Negocio y Recuperación ante Desastres
Uno de los requerimientos que los negocios necesitan del departamento de IT es que se garantice que la información de la empresa es segura y que las aplicaciones estarán disponibles incluso si sucede algún desastre natural. El departamento de IT estará en capacidad de ofrecer este tipo de garantías solamente si ha habido trabajos con los ejecutivos del negocio donde se han establecido las prioridades del negocio, de los procesos, y las operaciones para crear resiliencia en la infraestructura y un plan de continuidad de negocios y recuperación de desastres.
La resiliencia y la disponibilidad son comúnmente relacionadas entre sí, para garantizar que la infraestructura y las aplicaciones asociadas continúen operando incluso si es que ocurren fallas del data center (o de alguno de sus componentes).
En lo concerniente a la continuidad del negocio (BC del inglés Business Continuity) y recuperación de desastres (DR del inglés Disaster Recovery), normalmente sucede que los departamentos de IT implementan o tienen ya planes de BC y DR para proteger sus servicios sin considerar las prioridades del negocio, los procesos y las aplicaciones.
El plan de BC está típicamente relacionado con procesos del negocio y personal a alto nivel, mientras que un plan de DR está normalmente asignado a personal de más bajo nivel quienes están a cargo de las tareas técnicas que deberían ejecutarse en el caso de ocurrir un desastre.
Para que un plan de BC o DR realmente sea exitoso, las empresas deberían tener el compromiso financiero y organizacional de los gerentes del negocio para poder desarrollar y mantener un plan de BC o DR.
Los pasos para concebir un plan de BC/DR son los siguientes:
- Realizar un levantamiento de los riesgos potenciales
- Entender las aplicaciones del negocio
- Establecer prioridades a esas aplicaciones del negocio
Luego de los pasos básicos de arriba, se debe documentar un plan el cual debe ser probado periódicamente para asegurar al negocio que su información y aplicaciones críticas estarán disponibles en el evento de que suceda algún acontecimiento inesperado como un desastre natural, incendio, inundación, etc.
La pregunta que debería hacerse toda organización es cómo la infraestructura que elijan para el futuro puede ayudar para dar las garantías al negocio necesarios y de cierta manera faciliten el soporte de esquemas de BC y DR si ocurren eventos inesperados. Después de todo, toda empresa desea cero fallas de sistemas y tiempos nulos de indisponibilidad de su infraestructura hasta que conocen los costos de las soluciones que permiten lograrlo.
Al utilizar las soluciones de SDDC, las cuales ofrecen esquemas de recuperación de desastres y replicación basadas en software, las empresas son capaces de adaptarse dinámicamente a las fallas de la infraestructura y recuperar las aplicaciones críticas a un precio mucho menor que las soluciones de DR tradicionales.
Riesgo: el marco regulatorio
Es indiscutible, que en nuestro país al igual que en el resto del mundo, las empresas son afectadas por los marcos regulatorios en el campo de las comunicaciones y manejo de información de la empresa. Los gobiernos y agencias regulatorias crean regulaciones para asegurarse que las empresas manejen la información de cierta manera tal que protejan la seguridad e intereses de sus clientes y empleados. Estas regulaciones ponen gran presión en los departamentos de IT los cuales son los responsables de mantener la información de la empresa segura, con cierto tiempo de retención, y manejo de AAA en maneras bien específicas para poder cumplir con las regulaciones.
Actualmente, con la naturaleza cambiante y creciente de la información, asegurar el cumplimiento de dichas regulaciones mientras se opera en una infraestructura tradicional de data center, es prácticamente imposible. Lo que necesitan las empresas es la habilidad de conocer qué data poseen, dónde está, y si es que cumplen o no con las regulaciones.
Igual de importante para las empresas es contar con la capacidad de asegurar que la información cumple con sus políticas de apego a las regulaciones independientemente si la información se mueve a través de la infraestructura de la institución, equipos móviles y la nube pública.
Algunos ejemplos de regulaciones internacionales que afectan a las empresas y sus data centers son las siguientes:
- Sarbanes-oXley (SOX). Afecta a las empresas que cotizan en la bolsa.
- Payment card industry (PCI). Afecta a todas las empresas que aceptan tarjetas de crédito como forma de pago.
- Health Insurance Portability and Accountability Act (HIPAA). Afecta a las empresas que utilizan historiales clínicos de pacientes
Reto: Evitar el bloqueo a nivel de hypervisor, almacenamiento y servidores
Otro riesgo que afecta a los negocios de todo tamaño y tipo es el quedarse bloqueado o atado a un fabricante en particular de hypervisor, almacenamiento, o servidores dentro del data center.
Por ejemplo, las VMs de la empresa pueden estar guardadas en un formato que sea difícil de convertir y mover hacia otro hypervisor. Un proveedor de servicios podría cobrar una cantidad exorbitante de dinero para mover la información de la empresa hacia la nube. O, un fabricante de servidores de hyper convergencia, podría vender a una empresa una solución que requiera seguir comprando más equipamiento a medida que se necesite más capacidad en el data center y no haya la posibilidad de adquirir hardware de terceros para este propósito.
Definitivamente, existen varios niveles de bloqueo a los cuales puede atarse una empresa. Por una parte, unos bloqueos pueden ser solo un proceso engorroso que requiere algunos pasos previos antes de abandonar una marca determinada. Pero, por otro lado, algunos niveles de bloqueo pueden traer impactos financieros enormes al negocio que podrían requerir que la empresa continúe pagando una gran cantidad de dinero mensualmente, independientemente si usa o no la infraestructura. Por ejemplo, los proveedores de los servicios de cloud o de hosting, comúnmente exigen a las empresas que sigan pagando una tarifa mensual, use o no la infraestructura, caso contrario podría perder la información que viva en las premisas del proveedor.
Con este antecedente, es importante entender que las soluciones de data center modernos se están volviendo tan abiertas y flexibles que la información puede ser dinámicamente movida de una infraestructura a otra inclusive sin que exista un tiempo de indisponibilidad de los servicios. Por ejemplo, si una solución utiliza vSphere el departamento de IT puede utilizar la funcionalidad de Storage vMotion para mover las VMs de un almacenamiento a otro sin disrupción del servicio.
Las empresas, siempre deben mantenerse vigilantes ante soluciones que las puedan dejar bloqueadas y atadas a un solo fabricante, y evaluar cuán cómodo se siente la empresa con ese bloqueo. Hay que recordar, que cada solución tecnológica tiene su nivel de bloqueo, aún si es pequeño.
Contar con soluciones on-premises (dentro del propio data center), las empresas pueden mantener control y flexibilidad sobre su infraestructura. Por esta razón, las soluciones on premises definidas por software son la mejor opción para un negocio que desea evitar el bloqueo ante fabricantes o marcas.
Reto: Cambiar la percepción del departamento de IT
Otro reto al que se enfrenta, especialmente el departamento de IT, es la percepción que los directivos tienen de su gestión y de su valor dentro del negocio. Debido a las ineficiencias del pasado y a los retardos en la entrega de aplicaciones y servicios para el negocio, muchas de ellas debidas las limitaciones del hardware y software de esa época, el departamento de IT es visto comúnmente como lento y caro de mantener.
El resultado de esta percepción, es que el departamento de IT ya no es bienvenido en participar en las reuniones donde se toman decisiones del negocio. En algunas empresas incluso los ejecutivos y altos mandos de la compañía, han sorteado el departamento de IT y han adquirido sus propios recursos en el Cloud Público o contratado a terceros para que provean dichos servicios.
El riego aquí es que, si el departamento de IT no es un participante activo en el proceso de negocio, es improbable que sea visto como un departamento importante para el giro. Es también poco probable que el departamento de IT pueda ayudar a la empresa a utilizar la tecnología como ventaja competitiva, y mucho menos probable que reciba dinero y recursos para proyectos nuevos.
Lo que debe hacer IT para poder ser visto como un habilitador del negocio y ocupar su lugar de departamento importante en el proceso del negocio es mostrar lo siguiente:
- Voluntad y ganas de querer ser parte del proceso
- Estar dispuestos a tomarse el tiempo para entender el negocio y sus necesidades tecnológicas
- Disponer de tecnologías que puedan ayudar al negocio a ser ágil, eficiente y escalable
En muchas compañías, las organizaciones de IT están empezando a verse a sí mismas como un proveedor de servicios internos (este modelo se conoce como IT as a Service o ITaaS). La idea es la de manejar a IT como que fuera una empresa separada que debe competir con proveedores externos en términos de costos y agilidad. Después de todo, con la aparición de Cloud Computing, y Software as a Service (SaaS), los departamentos de IT tienen una competencia real, y sus servicios pueden ser comprados y accedidos en minutos con el uso de la tarjeta de crédito de la empresa. Para aquellas compañías que han adoptado este modelo de competición, se ha visto que se han vuelto mucho más competitivas, más ágiles, y más conscientes de los costos.
Este concepto de que el grupo de TI se convierta en un socio confiable del negocio puede ser uno de los retos más importantes y difíciles que enfrenta en departamento de TI. Después de todo si el departamento de TI no es visto con valor y respeto en la empresa, es improbable que pueda recibir los fondos que le permita modernizar su data center para estar preparado para atender las necesidades futuras del negocio.
Fuente: Pontificia Universidad Católica del Ecuador, Estudio de las tendencias tecnológicas para la modernización de centro de datos y presentación de una propuesta de una arquitectura de data center moderno, Mario Sánchez Paz.
Adaptado por la División consultoría de EvaluandoSoftware.com