La gestión de los activos de información es cada vez más crítica e importante en la compañía. Hay procesos, como el almacenamiento, en los que la tecnología ha alcanzado un nivel de madurez que permite resolverlos satisfactoriamente. Sin embargo, la gestión de las transferencias de archivos dentro y fuera de la empresa constituye un desafío constante.
Las soluciones de Managed File Transfer (MFT) permiten gestionar los procesos de transferencia de archivos, incorporando procesos de gobierno sobre los flujos de información.
Los datos son hoy un activo que genera ventajas competitivas para las organizaciones. La explosión de los medios digitales y las telecomunicaciones ha generado un incremento en el número de personas que maneja información sensible, tanto dentro como fuera de nuestra red corporativa, gatillando en las empresas el interés por proteger sus activos de datos. La aplicación de controles de carácter técnico es directa en aquellos casos en que la información está centralizada, sin embargo la complejidad se dispara cuando se trata de controlar la data que se distribuye dentro y fuera de la compañía.
La información se distribuye generalmente en forma de archivos, utilizando múltiples medios tales como carpetas compartidas, pendrives, correo electrónico, wikis / SharePoints, chat y servidores instalados por usuarios, entre otros. Cada uno de estos medios posee distintos niveles de seguridad y respaldo a nivel corporativo; mientras algunos están prohibidos sólo administrativamente, otros se encuentran bloqueados por políticas instaladas a nivel de los computadores de los usuarios. Desde el punto de vista de la gerencia TI es una carrera constante entre las tecnologías disponibles, las costumbres de los usuarios, las necesidades del negocio y las capacidades del equipo TI para satisfacer las demandas sin dejar de lado el cumplimiento de las políticas relativas al manejo de la información.
Por otra parte, los distintos protocolos de transferencia de archivos generalmente tienen foco en aspectos más bien técnicos como velocidad, integridad y/o confidencialidad de los datos transferidos y no en los procesos de gobierno asociados, tales como capacidad de auditar las transferencias, autorizaciones, aplicación de políticas sobre contenidos u otros. Estas carencias, junto con el volumen de las transferencias a nivel de organización, elevan el costo de saber dónde se encuentra cada archivo y cómo llegó ahí a niveles impracticables, incluso en aquellos casos donde sólo se utilizan los medios autorizados a nivel corporativo. Las transferencias de archivos presentan, en consecuencia, dos desafíos: controlar la diversidad de medios existentes y gobernar los procesos de tránsito de información dentro y fuera de la empresa.
A partir de estos problemas surgen las soluciones de Managed File Transfer (MFT). Su propuesta de valor es clara: integrar los medios de transferencia de archivos y proveer los procesos de gobierno necesarios para controlar el flujo de información asociado. MFT utiliza tecnologías conocidas para hacer transferencias, tales como FTP, HTTP, SFTP o FTPS (TLS/SSL), las cuales complementa con interfaces de usuario y extensiones para integrarse con aplicaciones existentes en la empresa, tales como el correo electrónico. Este grupo de plataformas consolida los distintos medios de transferencias de datos y los controla bajo una política única y centralizada.
Las potencialidades de MFT como concepto son múltiples:
• Interoperabilidad entre plataformas que utilizan distintos medios o protocolos para transferir archivos, facilitando la colaboración entre los usuarios.vCapacidad de auditar los flujos de información.• Reforzar las políticas de seguridad corporativas utilizando permisos a nivel de usuario o grupos, o bien filtrar las transferencias de archivos con información sensible.• Asegurar el cumplimiento de normas bajo las cuales la empresa debe operar, tales como SOX, HIPAA, PCI, u otras.• Disponer de versiones de los archivos dentro de la compañía.• Programar tareas y actividades “a priori” o “a posteriori” de una transferencia en particular.• Eliminar los problemas asociados a limitaciones en tamaños de archivos a transferir, como generalmente sucede en servidores web o attachments de correo electrónico.
¿Es necesario utilizar MFT?
Es importante hacer notar que MFT es una solución técnica para un problema de gestión o cumplimiento de normas a las que se encuentra sujeta la empresa. MFT no presenta innovaciones en los protocolos mismos utilizados para las transferencias, sino que aspira a gobernar aquellos protocolos que ya se encuentran en uso por parte de la empresa. En el caso de aquellas firmas que realicen transferencias masivas de datos periódicamente, MFT no mejora el desempeño de las transferencias como sí lo hacen, por ejemplo, los dispositivos optimizadores de ancho de banda presentes en el mercado.
Finalmente, si bien las soluciones de MFT usualmente poseen adaptadores o módulos para integrarse con plataformas corporativas tradicionales, como Outlook, Oracle, etc, sus capacidades de inhibir otros métodos de transferencia e integrarse con plataformas no tan conocidas es probablemente limitada en muchos aspectos por lo que controles técnicos y administrativos adicionales aún serán necesarios.
¿Es necesario entonces utilizar MFT? Las transferencias de archivos son, en última instancia, realizadas por personas y en consecuencia los procesos de gobierno TI proporcionados por MFT pueden ser perfectamente efectuados mediante controles administrativos y procedimientos técnicos. Por otra parte, la empresa se beneficia al automatizar tantos procesos como le sea posible, permitiendo orientar sus HH hacia nuevos proyectos que aporten al negocio. Si su negocio está sujeto a auditorías sobre sus flujos de información, si existen transferencias periódicas de datos sensibles que no son controladas o cuyo control tiene un alto costo, MFT podría ser una solución pertinente para su organización.
Sobre el autor
Alejandro Salinas es Ingeniero en Computación (PUC), Magíster en Gestión para la Globalización de la Universidad de Chile y MBA de Melbourne Business School. Actualmente realiza investigación aplicada en NIC Chile Research Labs, como Encargado Técnico del Proyecto IPv6 para Chile (www.ipv6.cl).