El gasto en la nube y la seguridad en la nube tienen una relación simbiótica
El cliché más común en seguridad hoy en día es: «No se puede proteger lo que no se puede ver». Es pegadizo y tiene sentido dado que una gran seguridad en 2023 depende de una visibilidad profunda. Esto significa saber no sólo qué aplicaciones, máquinas virtuales, contenedores, imágenes, bases de datos, etc., existen en su nube sino, más importante aún, su estado y si se están utilizando, actualizando, parcheando, manteniendo, configurando correctamente y más.
Sin embargo, además de mejorar la seguridad en la nube, tener una visibilidad profunda de la seguridad en la nube quizás tenga un propósito menos obvio: la reducción de costes en la nube.
Si lo piensa bien, muchos de los procesos empleados para lograr una sólida seguridad y visibilidad en la nube comparten similitudes con los procesos necesarios para reducir el gasto en la nube. Cuando no sabe lo que existe en su patrimonio de la nube, puede terminar pagando por los activos de la nube que quedan de proyectos que finalizaron hace meses o incluso años.
Compárelo con registrarse para obtener una suscripción recurrente con su tarjeta de crédito. Sin la capacidad de acceder fácilmente a su historial bancario en línea (es decir, tener visibilidad de sus finanzas), no podría rastrear qué suscripciones (o, francamente, cualquier otra cosa) está pagando, lo que conduce a un gasto excesivo.
Echemos un vistazo a dónde se superponen y alinean algunos de esos procesos para aumentar la seguridad y reducir el gasto en la nube.
Desafíos de seguridad y costes de la TI en la sombra
Uno de los problemas más urgentes para los equipos de seguridad y finanzas es la TI en la sombra. La mayoría de las empresas tienen políticas financieras que permiten a los ejecutivos realizar compras hasta una determinada cantidad, independientemente de cuál sea, con sus tarjetas de crédito corporativas. Desafortunadamente, estas tarjetas se utilizan con demasiada frecuencia para comprar suscripciones únicas a la nube, lo que genera desafíos de seguridad, ya que el equipo de seguridad no recibe una notificación adecuada sobre los nuevos activos de la nube que necesitan protección.
Además, la empresa sufre económicamente. Cuando las suscripciones a la nube se compran con tarjetas de crédito corporativas, los proveedores solo ofrecerán el precio de lista. En comparación, las suscripciones a la nube que se compran con una cuenta corporativa verificada podrían recibir descuentos que oscilan entre el 20% y el 30% del precio de lista.
El primer paso para alinear las prioridades financieras y de seguridad de una organización es establecer políticas que requieran que las suscripciones a la nube se compren a través de la cuenta corporativa aprobada de la empresa. El equipo de seguridad también debe gobernar esta cuenta corporativa para garantizar una visibilidad constante de todo lo que se encuentra en la nube. Al hacerlo, la organización mejora su postura de seguridad y al mismo tiempo reduce el gasto innecesario en la nube.
Este no es el único escenario en el que los procesos financieros y de seguridad pueden alinearse para lograr beneficios empresariales.
Aumente la seguridad para reducir el gasto
Como mencioné antes, la visibilidad profunda es la base de una buena seguridad en la nube. Seamos más específicos acerca de qué profundidad idealmente quieren llegar las organizaciones.
En los entornos nativos de la nube actuales, los equipos de seguridad no solo necesitan saber qué existe en la nube, sino que también deben tener visibilidad hasta la fuente de información. Esto incluye conocer al desarrollador o equipo original que creó el artefacto, así como cuándo fue escaneado e implementado y si se ha cambiado o modificado desde entonces.
Al aplicar estas estrategias y procesos para garantizar que las cargas de trabajo se mantengan de manera efectiva, los equipos de seguridad y desarrolladores obtienen una comprensión real de qué activos de la nube se están utilizando realmente. A su vez, este conocimiento hace que sea más fácil eliminar lo que no se esté utilizando, lo que no solo fomenta el ahorro en la nube sino que también garantiza que los equipos de ingeniería no pierdan tiempo y energía reparando instancias de la nube no utilizadas. En otras palabras, las alertas y correcciones de seguridad se pueden priorizar mejor cuando el gasto en la nube disminuye simultáneamente.
Si bien es muy beneficioso, alinear los procesos financieros y de seguridad no es una tarea fácil, ya que requiere que los equipos financieros y de seguridad rompan los silos y trabajen juntos. Sin embargo, ¿quién es responsable de esto y quién informa a la alta dirección para demostrar el valor y el ahorro de costes resultante?
Jefe de optimización del gasto en la nube
La única forma que tienen las organizaciones medianas y grandes de gestionar un proyecto de esta magnitud es dedicar una persona o un equipo a optimizar el gasto en la nube. Hoy en día, comúnmente nos referimos a esta función como FinOps, y este equipo o individuo es responsable de cerrar la brecha entre la seguridad y la contabilidad.
Si bien tanto el equipo de seguridad como el de contabilidad desempeñan un papel clave en la optimización del gasto en la nube, ninguno de ellos tiene la comprensión adecuada del día a día de cada uno cuando están separados. El gasto en la nube se compone de decenas de miles de partidas sobre las que los equipos de contabilidad carecen de visibilidad o conocimiento, y los equipos de seguridad rara vez tienen influencia en los presupuestos de la nube. Sin dedicar un equipo a la optimización, la propiedad queda desatendida y el gasto en la nube se sale de control.
Lo ideal sería que FinOps estuviera dirigido por alguien con un amplio conocimiento de la tecnología de muchos equipos diferentes, así como experiencia en influir en los procesos comerciales y financieros. Suele ser una persona con experiencia en tecnología, como un desarrollador experimentado. Es posible que estas personas ya existan en su organización y deseen pasar a una posición más financiera o orientada a los negocios. Pase lo que pase, deben tener una visión para impulsar el cambio y al mismo tiempo ser capaces de mostrar el valor empresarial y demostrar un sólido retorno de la inversión a la junta directiva o a la alta dirección.
Una buena seguridad en la nube se amortiza sola
La relación entre la seguridad en la nube y el gasto en la nube es única y simbiótica. Las organizaciones que priorizan la alineación de procesos entre los equipos financieros y de seguridad pueden mejorar simultáneamente la postura de seguridad y optimizar los presupuestos de la nube, agregando una ventaja competitiva a su negocio. Cuando se logra correctamente, las organizaciones pueden esperar ahorros significativos en la nube dentro del primer mes de ejecutar sólidas estrategias de seguridad en la nube que pueden incluso cubrir los costes de la inversión inicial en seguridad.
Fuente: Forbes