LA VELOCIDAD DEL CAMBIO TECNOLÓGICO GENERA VULNERABILIDADES EMPRESARIALES
23 de septiembre del 2010 | por Jesús García
Recientemente llevamos a cabo una serie de conversaciones con algunos de CIOs y ejecutivos senior de sistemas en Estados Unidos. La novedad es que la mayoría de los líderes de sistemas (IT) están construyendo su infraestructura tecnológica para el crecimiento. El problema es cómo aprovechar las nuevas oportunidades de negocio y a la vez mitigar el riesgo.
Ahora que la economía está mostrando signos de recuperación del shock de recesión del 2008 y 2009, los negocios están empezando a recibir pedidos y la confianza del consumidor está finalmente en aumento. Si bien el panorama de empleos podría ser mayor, muchos economistas y líderes de negocios consideran que un crecimiento en las nóminas del sector privado es lo que se avecina. Lo más importante es que este periodo de crecimiento deberá implicar mayores oportunidades para las compañías de casi todos los sectores y regiones geográficas.
Sin embargo, después de un periodo prolongado de reducción de costos y consolidación en general, el tema que tienen en la mente muchos líderes es cómo prepararse mejor para que sus organizaciones puedan competir en una economía de expansión. Para los CIOs, se trata de prepararse para el crecimiento y los cambios y desarrollar los cimientos adecuados con los cuales innovar, escalar y construir nuevos servicios y productos.
Se trata de hacer las adecuadas inversiones en negocios y tecnología, es decir hacer todo esto, mientras se sigue buscando la ventaja competitiva, reduciendo los tiempos para los mercados y reduciendo lo costos totales de propiedad. Es cierto que es esencial darle la bienvenida a esta oportunidad, pero las oportunidades siempre se presentan con riesgo.
Aquí estamos frente a un riesgo de negocio, que consiste en tomar decisiones inadecuadas y ligeras, o ingresar a mercados equivocados. Igualmente, también existe un riesgo en la tecnología, para que garantice que la compañía esté invirtiendo en los tipos de tecnologías que construyan negocios, garantizando de manera suficiente las condiciones de la empresa.
La pregunta que los CIOs se formulan es cómo pueden mitigar los riesgos relacionados con las iniciativas de nuevas tecnologías teniendo como tema fundamental la seguridad.
Velocidad del Cambio Tecnológico
En las discusiones que tuvimos en diferentes mesas redondas, los ejecutivos manifestaron que en ciertos aspectos son afortunados. Los paradigmas de las nuevas tecnologías, tales como la virtualización, consolidación de centros de datos y penetración inicial a las arquitecturas privadas, públicas o híbridas, de nubes de cómputo, incluyendo el software como servicio, han suministrado eficiencias.
Estas eficiencias incluyen una mayor productividad, reducción de
costos y producción a escala. En realidad, si bien los negocios se dieron una pausa en sus actividades, muchos en la comunidad continuaron recorriendo un camino hacia la aplicación de la modernización y la infraestructura en términos generales (pensemos en Microsoft Windows 7). Los cimientos para escalar la empresa, ya se habían construido, incluso durante el periodo de recesión.
Además de lo anterior, debemos mencionar la mayor libertad que disfrutan los empleados de hoy en día, como la posibilidad de trabajar desde sus casas o durante los vuelos, gracias a los equipos y dispositivos móviles.
Aun cuando las tecnologías claves, como las comunicaciones unificadas, incluyendo el VoIP, se habían implementado esencialmente para reducir costos, uno de los beneficios colaterales es la mayor productividad, ya que en la actualidad se encuentran más dispositivos en la red.
Los equipos móviles de hoy en día se utilizan para acceder aplicaciones de empresa y para utilizar la Web, incluso para mensajes de texto, cada vez más con el objetivo de llevar a cabo los trabajos en cualquier sitio y a cualquier hora. En realidad el 77% de quienes respondieron a una encuesta realizada en el 2009 por IDG News manifestaron que utilizaban equipos móviles con funciones basadas en servicios Web.
Sin embargo, estas iniciativas de la tecnología emergente también implican desafíos. Por ejemplo, los que trabajan desde sus casas o desde su automóvil tienen un mayor acceso a los recursos de negocios, pero frecuentemente utilizan dispositivos móviles que no son seguros o computadores personales con conexiones inadecuadas.
Existe la posibilidad de que los trabajadores, clientes y asociados de negocios que tengan acceso a los datos de la compañía puedan suministrar un gateway no programado hacia sistemas de negocios de misiones críticas.
De acuerdo con este panorama, ¿cómo se aseguran estos dispositivos móviles que están proliferando y sobre los cuales no se tiene un manejo? ¿cómo se garantiza que el acceso es para propósitos de negocios solamente, teniendo en cuenta especialmente la aparición de cómputo en la nube y la mayor capacidad que tienen los empleados de trabajar desde su casa? Y ¿qué podemos decir de los datos enviados o recibidos desde los dispositivos móviles? Además existe el uso, sancionado o no, de redes sociales en el sitio de trabajo.
Lo que en una época era un pasatiempo, o una actividad que se realizaba desde la casa se está convirtiendo en parte del sitio de trabajo, ya que los empleados cada vez acceden a los sitios tales como Facebook, Twitter o YouTube. De acuerdo con la firma de mediciones de Web, Hitwise Intelligent, recientemente Facebook eclipsó a Google como el sitio más visitado del mundo.
En la última encuesta que hizo IDG, 47% de quienes respondieron, manifestaron que habían agregado o mantenido un perfil en algún sitio de redes sociales en el último mes, en comparación con tan solo el 29% el año anterior.
Y no es sólo lo personal. Las redes sociales como Twitter y Linkedln funcionan como nuevos agentes de conexiones de negocios en redes. Incluso los sistemas de colaboración suministrados por proveedores formales utilizan en la actualidad redes sociales. Adicionalmente, los grupos de trabajo especializados en relaciones públicas y mercadotecnia encuentran un valor en estos sitios para promover sus negocios.
YouTube se está convirtiendo en la plataforma para los esfuerzos en materia de relaciones públicas por parte de las compañías; y, sin embargo, muchas empresas están elaborando políticas en relación con el acceso a estos sitios, impidiendo o prohibiendo el uso en algunos casos. El problema según los CIOs y los líderes de nuestras pláticas tiene dos caras: los medios sociales pueden suministrar el gateway para los virus y malware, y los empleados pueden terminar discutiendo información sensible o privada sin autorización.
En términos generales, estos sitios de redes sociales, con sus demandas y vulnerabilidades potenciales de red pueden convertirse en un dolor de cabeza para la informática (IT). Sin embargo, las tecnologías sociales son una fuerza que deben reconocerse y que se están convirtiendo cada vez más en una alta prioridad IT.
En el 2010 según el estudio realizado por CIO Magazine, los CIOS se refieren a varias tecnologías que continuarán apropiándose de los presupuestos de IT: virtualización, infraestructura (especialmente centro de datos) y consolidación, cómputo en la nube y el software como servicio, tecnologías móviles con aplicaciones basadas en Web 2.0 y comunicaciones convergentes. En todos estos casos, los líderes IT deberán abordar el tema de la seguridad, incluyendo datos, aplicaciones, sistemas y seguridad de procesos.
Vulnerabilidades Organizacionales
Los ejecutivos IT indican que reconocen que estas tecnologías fundamentales continuarán sin interrupción durante un futuro previsible. En realidad, el cambio de velocidad puede aumentar en la medida en que los presupuestos IT empiecen nuevamente a crecer.
De acuerdo con la encuesta sobre impacto económico de la revista CIO de Abril de 2010, aproximadamente la mitad de los líderes IT manifiestan que su presupuesto general se aumentará para el próximo año; esto significa un ascenso del 40% reportado en el trimestre anterior y de tan sólo el 14% hace casi un año. Lo interesante es que los planes de gasto siguen enfocándose en aplicaciones (50%) y en inversiones en la Web o móviles (40%). Se hace énfasis en nuevos proyectos y tecnologías y aproximadamente el 53% de los ejecutivos IT esperan que el porcentaje de su presupuesto total IT asignado a nuevos proyectos se incremente, superando el 43 % del primer trimestre del 2010 y del 23% de mediados del 2009.
Con toda esta nueva tecnología e inversiones, se obtiene, sin embargo una mayor vulnerabilidad. Las compañías no deben aumentar inversiones en tecnología sin tener en cuenta lo que se afecta a la seguridad. La virtualización y el cómputo en la nube implican preocupaciones en relación con las amenazas de supervisión y fuga de datos.
¿Cómo es entonces la eficacia de datos? ¿Si no se alojan las aplicaciones o datos en el sitio, como en una nube privada, se puede tener confianza? ¿En dónde se encuentra el control de las aplicaciones si alguna de ellas (o algunas partes de ellas) residen en un sistema móvil o en un PC de uso familiar, dentro de la empresa (centro de datos u oficina regional), o dentro de sistemas basados en la nube? Y acaso no existen en la actualidad más amenazas potenciales de malware o virus que afecten los sistemas o aplicaciones?.
El acceso en sí mismo está bajo amenazas debido al uso cada vez mayor de redes sociales ricas en datos. Algunos analistas calculan que el 30% del ancho de banda corporativo es consumido por el tráfico de redes sociales. Existe simplemente una gran cantidad de datos no estructurados y sin regulación provenientes de fuentes como FaceBook y YouTube que se desplazan a través de los canales de negocios. Tanto el crecimiento del Internet móvil como la explosión de contenidos continúa sin interrupción. La pregunta aquí es si las empresas disponen de tecnologías adecuadas de seguridad que puedan escalar o estar a la vanguardia de las necesidades de ancho de banda de redes que están surgiendo.
La vulnerabilidad según manifiestan los líderes IT, también se encuentra presente en el tema de cumplimiento. Todo incumplimiento en la protección o entrega de datos puede representar llamados de atención de los reguladores y de los operadores de la justicia. La privacidad es de primordial importancia y los clientes no pueden estar expuestos.
El cliente de hoy en día es el rey, quien en últimas le da forma a la organización y almacenamiento de datos para muchas compañías. Pensemos en los consumidores de banca en línea: ellos ingresan información altamente sensible que debe ser protegida en forma segura, de tal suerte que se cumpla con una serie de regulaciones. Lo mismo sucede en la salud y la forma como la ley de portabilidad y responsabilidad de seguros Healt Insurance Portability and Accountability Act (HIPAA) que regula la privacidad de los datos de los pacientes. Este tema es una preocupación cada vez mayor, en la medida en que las organizaciones especializadas en el cuidado de la salud dependen cada vez más de los registros médicos portátiles y digitalizados. Se trata entonces de una interacción entre el consumidor y la empresa y constituye un factor adicional de vulnerabilidad que deben administrar las organizaciones.
¿Cómo pueden los gerentes de sistemas apalancar las tecnologías que tienen a su disposición y mantener sus datos, aplicaciones y dispositivos en forma segura? ¿Poseen ellos la inteligencia adecuada en relación con sus aplicaciones? ¿Tienen ellos los controles adecuados y la visibilidad en sus organizaciones? Durante los diálogos los CIOs manifestaron que no tienen suficiente visibilidad de sus sistemas, redes, dispositivos, aplicaciones y servicios, sin embargo, el control es limitado.
Riesgo contra Recompensa
Sin embargo, estos peligros no pueden ni debieran generar parálisis. Ya que es crítico utilizarlos, comprender que la planeación con riesgo en la mente es la mejor forma de apalancar los nuevos paradigmas tecnológicos.
Así debe ser este panorama. El crecimiento no se puede operar sin restricciones, sin embargo debe favorecerse. Cada organización debe ser consiente de la seguridad y del plan tecnológico, que incluya la virtualización, cómputo en la nube, características de movilidad o tecnologías de colaboración que deben hacerse teniendo en mente la seguridad. La mitigación del riesgo nunca debe ser algo que se deje para después.
Planeación de ambiente seguro significa creación de estrategia de seguridad en cuatro niveles: datos, aplicaciones y sistemas, dispositivos y personas. Esto significa implementar las tecnologías correctas de control de riesgo y además significa garantizar que los trabajadores y gerentes (y en muchos casos los socios y clientes) no sólo sean conscientes de la seguridad, sino que también estén capacitados para poner en práctica las políticas y procedimientos correctos con el fin de garantizar un medio ambiente corporativo seguro.
La reducción del riesgo y las consecuentes políticas con respecto al acceso deben hacer parte de un esfuerzo de amplio alcance que involucre a los gerentes y trabajadores, socios y clientes del negocio y reguladores y consumidores. Con todos los temas sobre la mesa viene un dilema para el CIO: ¿es necesario sacrificar la seguridad por el desempeño? Con todo lo que tiene que tenerse en cuenta en un negocio en épocas en que la economía muestre signos de recuperación, ahora más que nunca, es el momento de hacer un equilibrio entre el riesgo y la recompensa.
El crecimiento no puede detenerse, debe favorecerse y cada organización debe ser consciente del tema de seguridad.
El enfoque Sonicwall
Los lideres IT están buscando en todo momento un enfoque adecuado para mitigar el riesgo. En un momento en el cual los controles tradicionales están desvaneciéndose, la seguridad se debe enfocar en los usuarios, contenidos, dispositivos y aplicaciones, no sólo en los puertos o protocolos.
Guiados por la visión de seguridad dinámica para la red global, SonicWALL desarrolla soluciones de protección de datos y seguridad de redes inteligentes avanzadas que se adaptan a medida que evolucionan las organizaciones y las amenazas. Las soluciones de SonicWALL están diseñadas para detectar y controlar aplicaciones e igualmente para proteger las redes contra intrusos y ataques de malware mediante un hardware que ha sido ampliamente galardonado, además de un software y soluciones basadas en dispositivos virtuales. La compañía proporciona productos en las siguientes áreas: acceso remoto seguro, seguridad de punto final, firewall/VPN, seguridad de E-Mail, respaldo, recuperación, administración y reportes centralizados.
Las soluciones SonicWALL se enfocan en la infraestructura corporativa, comercio, salud, educación, gobierno y en tecnologías como VoIP, Clean VPN, Clean Wireless. Las tecnologías y soluciones SonicWALL ayudan a las empresas y otras organizaciones a situarse en un punto de vanguardia en la medida en que entran en un periodo de crecimiento económico y oportunidades. La visión SonicWall refleja el mundo cambiante: seguridad dinámica para las redes globales.