La primera tendencia que claramente se instala es el uso extendido de la nube (conocida como cloud) y como regla más general, el uso de servicios tecnológicos provistos por terceros, utilizando Internet como plataforma de conectividad y acceso (para no entrar en distinciones más técnicas como IaaS, PaaS y SaaS).
Desde un punto de vista del decisor de negocios, la nube no solo pasa a ser una elección real para el uso o provisión de servicios, en muchos casos, es la opción primaria de servicios de infraestructura o aplicaciones críticas, en diversas empresas, siendo la plataforma fundamental de sus operaciones. El modelo se ha extendido y las organizaciones ya han comprendido que la decisión no es con respecto a cuál nube escoger, si no que se trata de elegir la herramienta adecuada para el trabajo. Es así como ya las empresas adoptan modelos de múltiples nubes o híbridas (nube + on premise).
Una segunda tendencia que claramente se consolidó es lo que veníamos discutiendo desde hace muchos años, en cuanto a que los temas de ciberseguridad no se resuelven solo con inversiones en los aspectos tecnológicos (componentes de software o de hardware), sino que mediante un enfoque coherente e integral.
Una aproximación efectiva a la ciberseguridad se basa en un equilibrio armonioso entre tres elementos principales que forman el triángulo virtuoso: personas, procesos y tecnología. En particular, los ciberataques que sufrimos durante la pandemia tuvieron como vector principal aprovechar el eslabón más débil: las personas. Por ello podemos concluir que muchos decisores de negocio y responsables de tecnología lograron comprender (a veces en forma muy dura) que no basta con realizar las inversiones necesarias en la infraestructura, si es que no se adecúan los procesos y, principalmente, se realiza la capacitación pertinente a las personas de la organización. En ese sentido los temas de compliance son un desafío por resolver por las organizaciones, en un ambiente más complejo, donde los aspectos fundamentales son culturales.
Más tendencias
Una tercera tendencia es la búsqueda de reducción de costos y la sustentabilidad. De acuerdo a las predicciones de Gartner, el gasto global en servicios de la nube ascenderá a US$482 billones en 2022, esto comparados con los US$313 billones gastados en 2020. Los efectos del cambio climático podrían llegar a tener costos de US$1,6 trillones por año para 2025. Las propias organizaciones ya son conscientes de sus costos en la nube y presionarán por bajarlos con servicios sustentables.
Por último, una cuarta tendencia es que cloud juega un rol fundamental a la hora de entregar servicios de Inteligencia Artificial (IA) que, en palabras del CEO de Google, Sundar Pichai, tendrá un efecto más profundo en la sociedad que la electricidad o el fuego. Las plataformas de IA requieren habitualmente de altas capacidades de ancho de banda y procesamiento de datos masivos. La nube entonces es crucial para la entrega de estos servicios y su uso es habitual hoy por parte de las organizaciones.
Estas tendencias modifican el modelo de gestión y el establishment tradicional que hemos tenido por años en las empresas y el Estado respecto de los modelos de gobernanza, las definiciones estratégicas y la operación relacionada con la tecnología.
Por ejemplo, la irrupción de los servicios basados en la nube hace que el control respecto de las plataformas tecnológicas de una organización, tradicionalmente privilegio de los departamentos de tecnología, pase a ser ahora un modelo de gestión compartido entre distintas áreas de la compañía.
Respecto de la gestión de ciberseguridad, también las áreas de tecnología pierden el control absoluto, manteniendo la supervisión de sus componentes. Pero como ya vimos, la gestión integral de ciberseguridad debe contemplar ámbitos de procesos y trabajo con las personas, lo cual hace que se establezcan órganos colegiados de gestión de seguridad de la información, responsables y decisores de una mirada global que cubre toda la organización.
Podemos concluir, por tanto, que estas tendencias obligan a las organizaciones a tener una mirada más integral de las distintas áreas respecto a la gestión de las tecnologías conectadas con el negocio.
Adaptándose a los cambios
Lamentablemente, no en todas las organizaciones hemos visto flexibilidad para adaptarse a estos cambios y modelos tradicionales de gestión de organizaciones muy conservadoras que se han confrontado con la realidad que estas tendencias imponen, motivo por el cual muchas aún no han logrado entender el por qué han dejado de ser competitivas, han perdido posiciones de mercado o incluso han tenido serios problemas de ejecución en estos nuevos escenarios.
Un aspecto específico es la relación entre la ciberseguridad y el uso de servicios cloud. Muchas organizaciones ya conocen los beneficios de aprovechar las ventajas de infraestructura y servicios disponibles a través de Internet en la nube, pero eso no significa que esas mismas organizaciones deban descuidar el diseño, ejecución y el control de sus políticas de ciberseguridad, en todos los ámbitos ya mencionados, por el hecho de que utilizan servicios de terceros.
Por ejemplo, aquellas organizaciones que implementan sus soluciones de comercio electrónico, aprovechando proveedores de cloud, no pueden descansar exclusivamente en ese hecho para protección y aseguramiento de ciberseguridad. El utilizar un proveedor no significa que la organización descuide incluso aspectos de seguridad tecnológica, por ejemplo, sus aplicaciones de venta, los programas de infraestructura, sus bases de datos, etc. Los proveedores de infraestructura resuelven algunos componentes muy específicos de seguridad, pero no la mirada integral y, por cierto, menos resolverán aspectos de procesos o capital humano; uno de los aspectos claves es la cultura de la organización.
Seguridad en la nube
La relación entre ciberseguridad y uso de cloud considera múltiples aspectos. En primer lugar, cómo logro identificar los activos de información de la organización y el personal con los niveles de accesos adecuados, cuáles son los mecanismos para estos y dónde residen esos activos de información. ¿Se requieren enlaces de comunicación seguros para poder acceder a ellos? ¿Cuáles son los riesgos? ¿El proveedor de servicios cloud genera confianza desde un punto de vista técnico, operacional y jurídico respecto a esos activos de información? En relación con el mismo punto, respecto a la propiedad de los activos de información de la compañía (incluyendo el cumplimiento de regulaciones muy estrictas sobre el uso de datos personales, como GDPR y similares), muchas organizaciones han optado por utilizar servicios gratuitos en la nube. Pero al igual que el viejo aforismo que muchas veces usamos en entornos de negocios “There’s no free lunch” (no hay almuerzos gratis), lo mismo ocurre con los servicios cloud. En algunos de estos, el costo considera la cesión de derechos de uso sobre la información propia, lo cual indudablemente es un riesgo de ciberseguridad enorme.
Como resumen final, las tendencias ya están consolidadas. El uso de servicios cloud es un hecho frecuente en los ambientes de negocios y la gestión de ciberseguridad es una mirada integral con gobernanza compartida que cubre todos los niveles de la organización. En ese entorno, hoy la gestión supone una mirada estratégica de la tecnología, considerando ambos elementos en forma complementaria como pilares de la operación de las organizaciones en el escenario actual de negocios.