fernandosaenz.com

Pursuing the gold hidden behind raw data


Bienvenido/a,

No te voy a mentir, esto es un blog técnico, aunque no trata sobre tecnologías específicas. Expongo la motivación que hay detrás del diseño de cada sistema, y sus resultados. No voy a darte una explicación técnica de cada tecnología que diseño o utilizo. No vamos a "ver las tripas".

En estos últimos diez años, en los que he ejercido de gerente, he podido ver cómo la explotación inteligente de datos mejora de forma notable los resultados en diferentes ámbitos de la empresa. En este blog comparto esas experiencias, explicadas de forma resumida pero clara.

fernandosaenz.com
En cada post verás que incluyo una ficha que encabeza la lectura, y que ofrece una visión instantánea de lo que encontrarás si decides continuar. La mayoría de artículos los podrás leer en 3-4 minutos de tu tiempo.

Busco ofrecer un formato de micro-posts que giren en torno a la búsqueda de valor añadido buceando en datos crudos. Y siempre orientados a la divulgación de las experiencias que he vivido en esta obsesión que tengo por aplicar tecnología, a veces sencilla pero suficiente, en cada ámbito de la empresa.

Espero que lo disfrutes tanto como yo.

- Fernando Sáenz -
agosto 29, 2016

Confianza, Ciberseguridad, y el Camino de Santiago

  • Tiempo de lectura: 3 minutos
  • Problema: ¿somos demasiado confiados en el aprovisionamiento de infraestructura IT?
  • Observación: los proveedores de productos y servicios ITC tenemos ya un alto grado de subcontratación de infraestructura, se trata de un tema crítico que hay que saber gestionar con precisión
  • Propuesta: en Savvy Data Systems desde 2010 apostamos por la construcción sobre IaaS en lugar de sobre SaaS, asumiendo más carga de trabajo para el desarrollo pero obteniendo un mayor control

En mi trabajo, uno de mis muchos cometidos es conocer las diferentes Plataformas Cloud que van surgiendo, independientemente de su ámbito de aplicación. Este tipo de tecnologías tiende a ser de aplicación muy trasversal, es por eso que dedico parte de mi tiempo a estudiarlas. No son pocas ya las veces que he tenido la siguiente conversación:

FS -pero, ¿dónde están tus datos?

XX -pues en la nube

FS -vale, en la nube, ¿pero dónde físicamente?

XX -pues eso, en la nube

Estamos viviendo una época en la que el outsourcing de infraestructura y servicios IT está irrumpiendo como una locomotora, y yo soy el primero que está a favor de ello. Ahora bien, no podemos cometer el error de basar parte de nuestra política de Ciberseguridad en la confianza ciega hacia el proveedor IT. Pero, ¿qué tienen que ver la confianza, la Ciberseguridad, y el Camino de Santiago?

 

El Camino

Una de mis etapas en El Camino

El Camino

Este verano he dedicado unos días a recorrer El Camino, una aventura que sin duda recomiendo. Una de las curiosidades que me ha llamado la atención es el alto grado de confianza que tiene la gente, tanto hacia otros peregrinos como hacia los hospitaleros y otros voluntarios. La gran mayoría de la gente mantiene sus posesiones desatendidas, llevados por el estupendo clima de compañerismo y de seguridad que se respira en las diferentes localizaciones que se visitan a lo largo del recorrido. Un día, cuando iba a dormir, vi que alguien había cambiado mis pertenencias a la cama adyacente. No eché nada en falta, y no me preocupó demasiado. Sin embargo, me hizo pensar en cómo tenemos cierta tendencia a la sobreconfianza en algunos ámbitos, y cómo esto podría ser un error importante en el caso de las infraestructuras IT.

Outsourcing

La gran mayoría de empresas que desarrollamos productos ITC contamos hoy en día con un alto grado de outsourcing en infraestructura, hecho que heredan lógicamente nuestros productos. Una estrategia deficiente en el aprovisionamiento IT afecta directamente a dichos productos y servicios, y por tanto a nuestros clientes. En el caso de los servicios para Industria 4.0, este nivel de herencia llega incluso a la infraestructura de control y automatismos (OT), cuyo impacto real dependerá del grado de integración IT – OT.

Malcolm Marshall (Director Global de Ciberseguridad en KPMG) decía recientemente:

“Colectivamente hemos transitado como sonámbulos hacia una posición de vulnerabilidad y hemos sido incapaces de aprender las lecciones de la integración de la seguridad dentro de nuestros productos”

La responsabilidad de desarrollar productos IT para industria

Evidentemente, la solución para evitar incidentes no es volver a desconectar las infraestructuras OT de las IT, al igual que no sería lógico volver a la banca o la sanidad no informatizada. Ya nadie cuestiona que prácticamente todos los ámbitos de nuestra vida están directamente impactados por las tecnologías informáticas. Esto quiere decir que sobre nosotros recae una gran responsabilidad, y tenemos que estar a la altura. Las empresas que desarrollamos y ofertamos productos basados en Software Cloud para industria, tenemos que ser conscientes del alcance final de nuestros productos, el impacto que puede tener una mala política de aprovisionamiento IT, y por tanto actuar en consecuencia.

 

Infraestructura IT

DataCenter de uno de nuestros proveedores de infraestructura IT

Generar confianza; Ciberseguridad en la Cadena de Valor

Volviendo a la conversación que relataba al comienzo de este artículo, en mi día a día veo que empieza a ser habitual asociar el concepto “cloud” con el concepto “me da igual dónde estén mis datos”, lo que en muchos casos quiere decir “me da igual cómo se gestionen mis datos porque para eso lo sobcontrato (y deposito mi confianza en mi proveedor, cuyas decisiones – que no controlo – se convierten en un elemento crítico para mí)”. En el caso de Savvy Data Systems, es una postura que, como proveedor de soluciones IT para industria, no compartimos en absoluto. No solo conocemos perfectamente a nuestros proveedores IT (tecnología, infraestructura, cumplimiento de normativas, ISOs, procedimientos, política de crecimiento, etc.), sino que los auditamos personalmente. Sabemos con precisión en qué localizaciones se encuentran los datos de nuestros clientes, porque las hemos visitado y hemos visto físicamente nuestros procesadores, nuestros discos, nuestras memorias.

Efectivamente, esta política de aprovisionamiento IT supone una sobrecarga de trabajo importante. No por el hecho de visitar o auditar, sino por el hecho de no utilizar SaaS a la hora de construir nuestras plataformas, ya que nuestra capa base de trabajo es siempre el IaaS. Ése es el punto de equilibrio que hemos encontrado entre la confianza que somos capaces de asumir hacia nuestros proveedores y los hechos verificables que les exigimos. Con esto no quiero dar a entender que plataformas SaaS como AWS, Google Cloud, FiWare, etc. sean inseguras. No puedo darlo a entender porque lo desconozco. Y ése es precisamente el motivo por el que nuestra política de aprovisionamiento IT se basa en IaaS, y en Data Centers que nuestros clientes industriales tengan cerca y puedan ir a visitar. De esta forma proyectamos hacia nuestros clientes la confianza sobre esas buenas prácticas que nosotros gestionamos de forma directa sobre toda nuestra Cadena de Valor.

Conclusión

Tenemos que estar a la altura de la responsabilidad que estamos asumiendo. Esto supone crear productos con un alto nivel de seguridad, vigilando toda nuestra Cadena de Valor, de la misma forma en la que un fabricante de automóviles controla con precisión a sus proveedores, siendo conocedor de que la calidad final del producto depende en gran medida de éstos.

Hemos aprendido que la confianza se genera de una forma mucho más sólida cuando se basa en hechos verificables por uno mismo, y no tanto en esa confianza más propia de “El Camino” en la que delegamos la seguridad de nuestros productos en la suposición de que nuestros proveedores estarán haciendo las cosas bien.

gestión , tecnología # , , ,
Compartir: / / /