El cliché más común en seguridad hoy en día es: «No puedes proteger lo que no puedes ver». Es pegadizo y tiene sentido, dado que la gran seguridad en 2023 se basa en una profunda visibilidad. Esto significa saber no solo qué aplicaciones, máquinas virtuales, contenedores, imágenes, bases de datos, etc., existen en tu infraestructura en la nube, sino, lo que es más importante, su estado y si se están utilizando, actualizando, parchando, manteniendo y configurando correctamente, entre otros aspectos.
Además de mejorar la seguridad en la nube, sin embargo, existe un propósito quizás menos evidente para tener una visibilidad profunda de la seguridad en la nube: la reducción de costos.
Cuando lo piensas bien, muchos de los procesos empleados para una seguridad y visibilidad sólidas en la nube comparten similitudes con los procesos necesarios para reducir el gasto en la nube. Cuando no sabes qué existe en tu infraestructura en la nube, puedes terminar pagando por activos en la nube que quedaron de proyectos que terminaron hace meses o incluso años.
Compárelo con registrarse para obtener una suscripción recurrente con su tarjeta de crédito. Sin la capacidad de acceder fácilmente a su historial bancario en línea (es decir, tener visibilidad de sus finanzas), no podría rastrear qué suscripciones (o, francamente, cualquier otra cosa) está pagando, lo que lleva a un gasto excesivo.
Echemos un vistazo a dónde se superponen y alinean algunos de esos procesos para aumentar la seguridad y reducir el gasto en la nube.
Vea también: Tres cosas a considerar al construir una estrategia de Retail Media
Desafíos de seguridad y costos de la TI en la sombra
Uno de los problemas más urgentes para los equipos de seguridad y finanzas es la TI en la sombra. La mayoría de las empresas tienen políticas financieras que permiten a los ejecutivos realizar compras hasta una determinada cantidad, independientemente de cuál sea, con sus tarjetas de crédito corporativas. Desafortunadamente, estas tarjetas se utilizan con demasiada frecuencia para comprar suscripciones únicas a la nube, lo que genera desafíos de seguridad, ya que el equipo de seguridad no recibe una notificación adecuada sobre los nuevos activos de la nube que necesitan protección.
Además, la empresa sufre económicamente. Cuando las suscripciones a la nube se compran con tarjetas de crédito corporativas, los proveedores solo ofrecerán el precio de lista. En comparación, las suscripciones a la nube que se compran con una cuenta corporativa verificada podrían recibir descuentos que oscilan entre el 20% y el 30% del precio de lista.
El primer paso para alinear las prioridades financieras y de seguridad de una organización es establecer políticas que requieran que las suscripciones a la nube se compren a través de la cuenta corporativa aprobada de la empresa. El equipo de seguridad también debe gobernar esta cuenta corporativa para garantizar una visibilidad constante de todo lo que se encuentra en la nube. Al hacerlo, la organización mejora su postura de seguridad y al mismo tiempo reduce el gasto innecesario.
Este no es el único escenario en el que los procesos financieros y de seguridad pueden alinearse para lograr beneficios empresariales.
Aumente la seguridad para reducir el gasto
Como mencioné antes, la visibilidad profunda es la base de una buena seguridad en la nube. Seamos más específicos acerca de qué profundidad idealmente quieren llegar las organizaciones.
En los entornos nativos de la nube actuales, los equipos de seguridad no solo necesitan saber qué existe en la nube, sino que también deben tener visibilidad hasta la fuente de información. Esto incluye conocer al desarrollador o equipo original que creó el artefacto, así como cuándo fue escaneado e implementado y si se ha cambiado o modificado desde entonces.
Al aplicar estas estrategias y procesos para garantizar que las cargas de trabajo se mantengan de manera efectiva, los equipos de seguridad y desarrolladores obtienen una comprensión real de qué activos de la nube se están utilizando realmente. A su vez, este conocimiento hace que sea más fácil eliminar lo que no se esté utilizando, lo que no solo fomenta el ahorro en la nube sino que también garantiza que los equipos de ingeniería no pierdan tiempo y energía reparando instancias de la nube no utilizadas. En otras palabras, las alertas y correcciones de seguridad se pueden priorizar mejor cuando el gasto en la nube disminuye simultáneamente.
Si bien es muy beneficioso, alinear los procesos financieros y de seguridad no es una tarea fácil, ya que requiere que los equipos financieros y de seguridad rompan los silos y trabajen juntos. Sin embargo, ¿quién es responsable de esto y quién informa a la alta dirección para demostrar el valor y el ahorro de costos resultante?
Jefe de optimización del gasto en la nube
La única forma que tienen las organizaciones medianas y grandes de gestionar un proyecto de esta magnitud es dedicar una persona o un equipo a optimizar el gasto en la nube. Hoy en día, comúnmente nos referimos a esta función como FinOps, y este equipo o individuo es responsable de cerrar la brecha entre la seguridad y la contabilidad.
Si bien tanto el equipo de seguridad como el de contabilidad desempeñan un papel clave en la optimización del gasto en la nube, ninguno de ellos tiene la comprensión adecuada del día a día de cada uno cuando están separados. El gasto en la nube se compone de decenas de miles de partidas sobre las que los equipos de contabilidad carecen de visibilidad o conocimiento, y los equipos de seguridad rara vez tienen influencia en los presupuestos de la nube. Sin dedicar un equipo a la optimización, la propiedad queda desatendida y el gasto en la nube se sale de control.
Lo ideal sería que FinOps estuviera dirigido por alguien con un amplio conocimiento de la tecnología de muchos equipos diferentes, así como experiencia en influir en los procesos comerciales y financieros. Suele ser una persona con experiencia en tecnología, como un desarrollador experimentado. Es posible que estas personas ya existan en su organización y deseen pasar a una posición más financiera o orientada a los negocios. Pase lo que pase, deben tener una visión para impulsar el cambio y al mismo tiempo ser capaces de mostrar el valor empresarial y demostrar un sólido retorno de la inversión a la junta directiva o a la alta dirección.
Una buena seguridad en la nube se amortiza sola
La relación entre la seguridad en la nube y el gasto en la nube es única y simbiótica. Las organizaciones que priorizan la alineación de procesos entre los equipos financieros y de seguridad pueden mejorar simultáneamente la postura de seguridad y optimizar los presupuestos de la nube, agregando una ventaja competitiva a su negocio. Cuando se logra correctamente, las organizaciones pueden esperar ahorros significativos en la nube dentro del primer mes de ejecutar sólidas estrategias de seguridad en la nube que pueden incluso cubrir los costos de la inversión inicial en seguridad.
