En una simple charla dentro de una reunión, un compañero ajeno al mundo digital me pidió que le explicara qué es la nube. También si esta es segura o si en ella llueve y truena. O si solo transita, blanca y segura, sobre nosotros. Así que me permití explicarle un poco, saliendo del mundo de los bits y bytes, tratando de hacerle comprender que entrar en una era digital, en el actual contexto de pandemia, se hace cada vez más necesario. He aquí lo que conversamos…
En esta era de nebulización, transformación digital, Internet de las Cosas (IoT, por sus siglas en inglés), inteligencia artificial (IA), machine learning, etc., la seguridad ha pasado de ser un simple antivirus y controles a convertirse en algo de vital importancia para las organizaciones. Ahora, el cumplimiento de estándares y evitar de forma proactiva la violación de estos implica ahorros en dinero, tiempo y molestias.
Ahora, las organizaciones están accediendo a más y más información de sus usuarios con el fin de brindarles mejores servicios y más accesibles. Por lo que aparece la imagen de la nube como la gran lluvia esperada en la sequía. Ahorro en gastos, personal, capacitación y tiempo de implementación.
Nube y seguridad
Es aquí donde la conjugación de todos estos elementos se vuelve un gran riesgo. Estamos ahora como hace 25 años, poniendo equipos en red, instalando servidores en centros de datos… Pero la diferencia es que es nueva tecnología y necesitamos entenderla.
Inicialmente, adoptar la nube no es solo comprar un software como servicio (SaaS, por sus siglas en inglés), ya que, si pretendemos poner la información de nuestros usuarios en un ambiente totalmente desconocido y sin nuestro control, será un suicidio si no cumplimos con los estándares mínimos y las leyes a nivel global.
Imaginemos que necesitamos un nuevo departamento, con todas las comodidades de la modernidad y la tecnología, Transformación Digital. Pero el vendedor de este departamento solo nos muestra el interior y nos enamora. Y damos el primer pago y firmamos el contrato.
Pues ahí empiezan los dolores de cabeza, ya que omitimos ver el entorno y pensamos que el lugar donde se ubicaba era seguro. Sin embargo, por ser barato es muy público y el vecindario donde se construyeron estos edificios tan modernos es muy vulnerable. Agreguemos que la vigilancia ofrecida de 24 horas es muy barata y solo tenemos un par de guardias con escasa educación y que solo saben leer y escribir, eso es básico.
Un día dejas dicho que te visitará un familiar y que tiene por nombre John Doe. Llega Juan Sánchez diciendo que es John Doe y es escoltado hasta tu departamento. Nunca se comprobó si era o no, ni se le pidió documentación, solo una lista de acceso.
En ese departamento tienes la información y objetos de todos tus clientes. Juan Sánchez ya tuvo acceso a estos y se los lleva, junto con otras cosas de valor. Ahora no puedes cambiarte. Tú debes poner nuevas medidas de seguridad, porque la letra pequeña dice que “las especificaciones del servicio aplicables a su orden definen las medidas de protección físicas, técnicas, administrativas y de otro tipo aplicadas a su contenido que resida en el entorno de servicios y describen otros aspectos de la administración del sistema aplicables a los servicios. Usted es responsable de las vulnerabilidades de seguridad, y las consecuencias de dichas vulnerabilidades, que surjan de su contenido y sus aplicaciones, tales como virus, trojan horses, gusanos (worms) u otras rutinas de programación contenidas en su contenido o sus aplicaciones, que pudieran limitar o dañar la funcionalidad de una computadora o que pudieran dañar, interceptar o expropiar datos”.
Eso se traducirá en gastos adicionales y posible pérdida por incumplimiento en algunas leyes como la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) de México o el Reglamento General de Protección de Datos (RGPD) europeo, así como normativa PCI. Y, obviamente, confiarse de que “tendrán la protección de la nube” es una falacia.
Nuevo edificio
La transformación digital depende un 80% de la transformación de los procesos de negocio, un 10% del cambio de cultura y un 10% de la tecnología. Sin embargo, no es posible vislumbrarla desde una parcialidad. Debe ser un todo, ya que carecer de cualquiera de las partes, por mínima que sea, se traducirá en un fracaso.
La metáfora. Si los abuelos trabajaron y construyeron un patrimonio para los hijos y estos crecieron felices, llega el tiempo de ampliar la casa y dar cabida a las nuevas familias. Y así de cuatro se vuelven seis y luego llegan los bebés y se transforma en diez. Se construyen nuevas habitaciones y todos están cómodos, tanto que la siguiente generación decide instalarse ahí mismo.
Ahoya ya son 16. Y los abuelos trabajan el doble. El bisnieto más audaz decide que es tiempo de tener un edificio inteligente que satisfaga las necesidades de todos. El paradigma es: ¿se construye uno nuevo o siguen creando más habitaciones sobre la misma infraestructura, mismo drenaje, misma toma eléctrica, mismo suministro de agua…? Lo básico.
Lo ideal será transformar, no parchar. Por lo que la decisión correcta será construir un nuevo edificio con las mejoras de la tecnología y aprovechamiento de energía. Y una vez listo, mudar a los abuelos para que disfruten de las mejoras, trabajen menos y sigan siendo productivos en función de su experiencia. Los abuelos son los procesos de negocio y los nietos la tecnología que cambia y mejora.
Estrategia compleja
En conjunto con la nube, la transformación digital no puede ser un tema decidido por una sola parte, sino por un conjunto de líderes dentro de los que debe destacarse al principal proveedor: el de tecnología. Y esta estrategia ha de ser bajo un marco de gobierno determinado por el negocio junto a la seguridad y cumplimiento de estándares.
La transformación digital y el uso de la nube no son moda ni tema de mercadotecnia. Es una estrategia compleja que debe tener en sí misma un alto análisis de riesgos desde el “como si”, cuál será la estrategia para actualizar los sistemas obsoletos antes de migrarlos a la nube y, sobre todo, elegir al proveedor adecuado para los servicios en la nube y temas de almacenamiento de datos, la interacción de estos y su correcta manipulación y analítica. Todo ello, para brindar a la organización la confianza de tener los datos correctos de las personas correctas y bajo el cumplimiento de estándares.
La ciberseguridad deja de ser un stopper para convertirse en una estrategia de gobierno de negocio y viabilidad de los proyectos, así como de la protección de lo más valioso para una organización: los datos de sus clientes y empleados.
El alto mando tendrá que considerar que el camino hacia la “nebulización de la transformación digital” no debe considerar el uso de lo ya existente por economía, ya que a la larga saldrá más costoso. Y que la ubicación de su “edificio inteligente” no puede ser en cualquier barrio. Debe ser en un fraccionamiento mejorado y este ha de ser creado por los expertos de la organización, nunca definido por terceros.
