La migración a la nube ofrece a las agencias federales enormes ventajas en cuanto a rendimiento y flexibilidad. Los servicios gubernamentales no pueden escalar o adoptar nuevas capacidades de manera efectiva como análisis de big data, inteligencia artificial, aprendizaje automático e Internet de las cosas sin migrar a la nube. Pero la adopción de la nube por parte del gobierno ha empoderado a una vieja némesis de TI: la TI en la sombra.
Shadow IT es el uso de sistemas, dispositivos, software, aplicaciones y servicios de TI fuera de la supervisión de los sistemas de TI aprobados de una organización. En el pasado, la TI en la sombra era típicamente una unidad de negocios que creaba sus propias aplicaciones desarrolladas localmente, o LDA, porque la oficina del director de información se consideraba demasiado onerosa. Durante mi tiempo en el servicio público, vi que el personal usaba subrepticiamente Microsoft Access para abordar una necesidad urgente de procesamiento de datos que inadvertidamente se convirtió en un sistema de misión crítica. Esto solo se descubrió cuando Microsoft Access alcanzó sus límites de escala y luego se convirtió en un proyecto de emergencia para transformarlo en una aplicación basada en web.
La creación de LDA es aún más fácil cuando se utilizan servicios en la nube. Esta oportunidad para la TI en la sombra se ve agravada por los mandatos gubernamentales de pasar a la nube antes del desarrollo de una estructura de gobierno que pueda monitorear y administrar tal movimiento. Combine todo esto con la tendencia muy humana de los equipos de desarrollo de experimentar con la creación de recursos en la nube y no limpiar después de ellos mismos, y el resultado es más TI en la sombra y expansión de la nube.
La expansión de la nube es un uso ineficiente de la nube: activos en la nube sobreaprovisionados, sobreprogramados, infrautilizados o huérfanos. A menudo sucede cuando los equipos de desarrollo ponen en marcha nuevos recursos en la nube, se olvidan de ellos y luego pasan a la siguiente tarea urgente. Incluso cuando se terminan los servidores en la nube, los volúmenes de almacenamiento de los servidores, en cierto sentido, los discos duros virtuales, a menudo se quedan atrás. Esto crea recursos en la nube huérfanos.
Los equipos también asignan un tamaño demasiado grande a los recursos de la nube en función de las especificaciones técnicas heredadas que provienen de los centros de datos locales, en lugar de comenzar con algo pequeño y utilizar la elasticidad de la nube para el escalado automático. Esto da como resultado recursos sobreaprovisionados e infrautilizados. Esta expansión de la nube aumenta los costos y, a menudo, conduce a sobrecostos en los presupuestos de los programas gubernamentales.
La expansión de la nube y la falta de gobernanza relacionada también pueden hacer que las agencias sean más vulnerables a las filtraciones de datos. Cuando los equipos de desarrollo crean recursos en la nube, es posible que no comprendan completamente el impacto de sus configuraciones relacionadas, como fue el caso en la filtración de datos de Capital One de 2019 que permitió el acceso a registros confidenciales almacenados en los buckets S3 de Amazon Web Services. Para mitigar el riesgo introducido por los recursos de la nube mal configurados, las agencias deben definir estándares de uso de la nube e implementar formas de monitorear el cumplimiento de esos estándares.
La implementación efectiva de AIOps es la respuesta a la TI en la sombra de hoy en día y la expansión de la nube. Aquí está la definición de Gartner: «AIOps combina big data y aprendizaje automático para automatizar los procesos de operaciones de TI, incluida la correlación de eventos, la detección de anomalías y la determinación de la causalidad».
Una solución AIOps centrada en la nube es la automatización robótica en la nube, o RCA, un conjunto de capacidades AIOps que establece barreras de gobierno y hace cumplir los estándares de uso en múltiples entornos de nube. Para problemas críticos de cumplimiento de estándares, también puede remediar los hallazgos de incumplimiento devolviendo los recursos de la nube a la configuración de estado deseada. Esto ofrece importantes ahorros de costos y mejoras de seguridad a través del monitoreo, la generación de informes y la solución de problemas de cumplimiento automatizados.
Para todos los equipos de hosting empresarial en la nube, el primer paso para recuperar el control es definir sus estándares. Cuando las agencias están considerando qué estándares establecer, deben adoptar los estándares establecidos de la industria. RCA está alineado con algunos de los estándares más respetados en la industria, incluido el Center for Internet Security Benchmarks, NIST 800-53 y AWS Foundational Security Best Practices. Estos proporcionan estándares básicos para comenzar, incluidos cientos de pautas de configuración para salvaguardar los entornos de nube contra las amenazas cibernéticas en evolución de la actualidad.
Como se mencionó anteriormente, para muchas agencias, el genio ya está fuera de la botella. La adopción de la nube precedió a una estructura de gestión y los equipos ya crearon la expansión de la nube y violaron las mejores prácticas de seguridad. En tales casos, la implementación de RCA sigue un patrón de implementación iterativo predecible al permitir primero el monitoreo y la generación de informes para comprender la profundidad y amplitud de los desafíos de cumplimiento. Luego, las agencias deben impulsar una comunicación efectiva y una estrategia de administración de cambios que involucre a los usuarios de la nube, para adoptar los nuevos estándares de la nube e impulsar de manera iterativa un cumplimiento mejorado.
Una vez que cumple completamente con un estándar, RCA puede habilitar la corrección automatizada, que bloquea el cumplimiento futuro al mantener la configuración de estado deseada de los recursos de la nube a perpetuidad. Por ejemplo, para cada servidor nuevo que se pone en marcha en la nube, RCA evalúa el cumplimiento de tres configuraciones principales: etiquetado adecuado, cifrado y uso de grupos de seguridad estandarizados. Si el servidor falla en alguna de estas pruebas, se termina automáticamente. La expansión de las nubes se corta de raíz. Es verdaderamente gobernanza como código.
RCA es una poderosa herramienta de cumplimiento para cualquier CIO que administre un entorno de nube de múltiples inquilinos. Sin embargo, críticamente, no es una aplicación en el viejo modelo de arriba hacia abajo del pasado. RCA proporciona AIOps que permiten a los equipos asumir una mayor parte de la responsabilidad de la seguridad porque una línea de base de higiene de la nube está «integrada» en el sistema. Las agencias pueden ahorrar millones adoptando AIOps, cerrando la expansión de la nube existente y evitando que vuelva a suceder en el futuro.
Atrás quedaron los días en que un equipo de TI central podía dar soporte a 20, 40, 100 grupos de desarrollo separados. Simplemente no es posible debido a la complejidad de las ofertas de servicios en la nube, incluso si las agencias gubernamentales tuvieran el presupuesto y el talento para intentarlo.
Entiendo el atractivo persistente del enfoque de «hágalo nosotros mismos». Recuerdo que hace 10 años me preguntaba si el gobierno realmente podía confiar en los grandes proveedores de servicios en la nube para respaldar la infraestructura y la misión de la agencia. Esa pregunta ha sido definitivamente respondida: sí. La nube proporciona capacidades increíbles a agencias que no podíamos imaginar hace una década. Por ejemplo, los CSP han perfeccionado la conmutación por error automatizada de la base de datos en sus productos de base de datos administrada que permiten una conmutación por error confiable y consistente en minutos.
Atrás quedaron los días de la sincronización de bases de datos de ingeniería y las fallas manuales. Ahora, RCA permite que AIOps para el gobierno elimine la TI en la sombra, la expansión de la nube y explore de manera segura el potencial de la nube.
Aaron Kilinski es copropietario y director de tecnología de Simple Technology Solutions.