Hoy la conformidad en la nube es cada vez más complicada y a la vez un reto importante de encarar. Si se aplica adecuadamente, un buen gobierno de la nube permitirá a una organización aprovechar plenamente de las ventajas de la computación en la nube y, al mismo tiempo, gestionar los riesgos asociados a este nuevo paradigma.
Conformidad de la Nube
Cuando llegue a este punto me cuestione ¿Cuáles serían fuentes de referencia independiente que me permitieran validar la conformidad de la Nube? La respuesta que encontramos para esta interrogante fue: Coso, Cobit y el marco de Ciberseguridad de NIST estos tres marcos los sugerimos ampliamente que los incluya en su proceso de Adopción de la Nube. Esto les permitirá no solo contar con los marcos de referencia que los principales proveedores de nube nos ofrecen, sino de marcos de referencia ampliamente utilizados por las empresas reguladas o altamente evolucionadas. También hay que considerar dependiendo de la industria donde estemos marcos de referencia especiales como: HIPAA para el sector médico y PCI para el sector financiero.
¿Qué es el gobierno de la nube?
Existen varias definiciones simplificadas de gobierno de la nube. Algunos lo definen como un conjunto de reglas que deben cumplirse. Otros lo definen como controles para gestionar el acceso, presupuestos y el cumplimiento de la nube, o bien, una forma de crear reglas, supervisar y ajustar cuando sea necesario para lograr los objetivos de la organización.
Yo prefiero visualizarlo como la capacidad de proporcionar dirección estratégica de los recursos en la nube que garantizan se cumplan los objetivos de la organización o emprendimiento, salvaguardando los niveles de tolerancia al riesgo o cumplimientos regulatorios.
Cuando los sistemas informáticos de una organización o emprendimiento se encuentran en centro de datos gestionados por usted o terceros, cuentan con muchos controles sobre quién puede acceder a ciertos datos, matrices de riesgo, evaluación de vulnerabilidades de seguridad y costos de la operación. Pero en la nube, puede perder rápidamente ese control. A medida que más organizaciones adoptan un enfoque que da prioridad a la nube el primer paso, generalmente este tener un modelo de nube híbrida, por tanto, es mandatorio el llamado a las áreas de: Riesgo, Seguridad, Cumplimiento, Auditoría y Tecnología empoderarse en implementar el gobierno de la nube.
¿Cuál es el beneficio de adoptar un gobierno de la nube?
Un gobierno eficaz de la nube, basada en un marco bien definido, ayudará a su organización o emprendimiento a aprovechar plenamente las ventajas de la nube al tiempo que gestiona de forma integral los costos, riesgos operativos y de seguridad. La necesidad de gobierno, es decir, de supervisión y dirección, es aún más importante en la nube, ya que las limitaciones físicas de capacidad, configuración y velocidad de la infraestructura se eliminan. Estoy seguro de que habrá escuchado o vivido cuando nos llega un cargo no esperado por haber dejado servicios activos que usamos para una simple prueba de concepto.
El adoptar un gobierno adecuado de la nube:
- Facilita la gestión de los recursos: Los principales proveedores de servicio en la nube, como AWS, promueven el uso de múltiples cuentas para separar diferentes ambientes de trabajo, lo cual es considerado una buena práctica dado que permite tener mayor control en la gestión de acceso, se puede ver fácilmente lo consumido por períodos de tiempo, apoya a limitar la superficie de ataque.
- Reduce el riesgo: ya sean datos expuestos, incumplimiento de políticas o normativas existen riesgo al operar en la nube. Un marco de gobierno de la Nube puede ayudar a garantizar que por ejemplo el servicio de AWS llamado S3 tenga los controles adecuados para mantenerlo privado, que el uso de sus recursos cumpla con las regulaciones como PCI o HIPAA y que se apliquen controles para que no se excedan los límites del presupuesto.
Se trata de un nuevo paradigma que requiere un cambio de cultura. Los enfoques tradicionales de la infraestructura y el cumplimiento de la tecnología de la información no son eficaces cuando se aplican a la nube, porque es tan diferente de la arquitectura del centro de datos como lo son los conceptos de computación por lotes frente a la computación en tiempo real. La nube es en tiempo real. El gobierno de la nube debe abarcar los procesos para definir y aplicar políticas, normas y procedimientos nuevos y adaptados a través de sistemas automatizados para poder gestionar la velocidad y la escala que ofrece la computación en nube.
El Marco de Gobierno de la Nube
Si tuvieron la oportunidad de ver el video de re:Invent sugerido en nuestra entrega anterior, les va a ser familiar el marco de referencia Amazon Web Services: AWS Well-Architecture Framework el cual representa los principios de diseño, preguntas y prácticas recomendadas que han ayudado a sus clientes a mejorar sus arquitecturas en la nube desde 2015. Estos principios se agrupan en categorías llamadas Pilares los cuales pasamos a describir:
- Seguridad
- Optimización de costos
- Excelencia operativa
- Fiabilidad
- Rendimiento Eficiencia
- Sostenibilidad
En 2021 AWS introduce un nuevo pilar llamado Sostenibilidad para ayudar a las organizaciones a aprender, medir y mejorar sus cargas utilizando las mejores prácticas ambientales para la computación en la nube.
Al igual que los otros pilares, el Pilar de la Sostenibilidad contiene preguntas destinadas a evaluar el diseño, la arquitectura y la implementación de sus cargas de trabajo enfocados a reducir su consumo de energía y mejorar su eficiencia. El pilar está diseñado como una herramienta para hacer un seguimiento de su progreso hacia las políticas y mejores prácticas que apoyan un futuro más sostenible, no como una simple lista de verificación.
Estas disciplinas y mejores prácticas deben priorizarse en función del conjunto único de objetivos de su organización o emprendimiento, el perfil y la tolerancia al riesgo, y la madurez de la nube. Lo ideal es que todos los elementos del marco se incorporen en cierto grado desde el principio de su programa de gobierno de la nube.
Al igual que un atleta necesita años de entrenamiento y práctica para perfeccionar las habilidades y destrezas necesarias para competir a un nivel profesional, se necesita tiempo para desarrollar y perfeccionar todas las normas y capacidades de automatización necesarias para llegar a dominar las mejores prácticas de gobierno de la nube. En otras palabras, es mejor gatear, caminar y luego correr o como seguro me escucharán a menudo decir “acumulen horas de vuelo”, allí está la clave del éxito.