La nube no es nada novedoso. A pesar de ello, ha sido tras la pandemia, cuando se ha convertido en el eje principal hacia la transformación digital de las compañías. Ya no hay dudas sobre la eficacia de este tipo de entornos. Prueba de ello es que, el 74% de los líderes empresariales están involucrados en el cloud, y muchos lo ven como una plataforma de crecimiento e innovación.
Pero, ¿cómo se puede conseguir una buena migración al cloud? Hay diversos factores muy importantes que hay que considerar para conseguir que la migración a cloud sea exitosa: desde preparación de la migración, análisis de aplicaciones hasta la propia planificación de la migración, entre otros.
“Para migrar a la nube es necesario conocer los objetivos de negocio de cada compañía y de esta forma ver qué aplicaciones y sistemas son los que de verdad debemos subir al cloud y en la modalidad que mejor se adapte al negocio. Pero para una implementación de éxito no hay que perder de vista la red y las conexiones a internet”, explica Gonzalo Echeverría, Country Manager de Zyxel Iberia.
Migración exitosa
Los desafíos a los que se enfrenta una empresa cuando inicia un proceso de migración al cloud están relacionados con la definición de la estrategia de migración, con qué equipos se cuenta para ella, cómo minimizar los tiempos de pérdida de servicio de las aplicaciones productivas durante la migración al cloud, cómo asegurar la disponibilidad y la seguridad de los datos en Cloud y, desde el ámbito operativo, cómo van a operar las aplicaciones en Cloud con otras aplicaciones con terceros o propias on-premise, sin perder el foco en uno de los mayores desafíos: el ahorro de coste y retorno de la inversión.
¿Cómo se puede conseguir una buena migración al cloud? Hay diversos factores muy importantes que hay que considerar
Cómo bien explica Javier Sánchez Bardón, Director de Innovación y Tecnología de Common Management Solutions hay diversos factores muy importantes a considerar para conseguir que la migración a Cloud sea exitosa: “El primer factor es la preparación de la migración al cloud. Es muy importante realizar un análisis de todas las aplicaciones y soluciones que tiene la empresa en modelo on-premise y determinar si todas están optimizadas para ser llevadas a un modelo Cloud; el segundo, identificar las ventajas que aporta llevar cada aplicación a modelo Cloud y el impacto que tendrá su uso en el nuevo modelo mediante un análisis global de cada una de ellas y por último, la planificación de la transformación de las aplicaciones a Cloud”.
Sobre este último punto es esencial incidir en la necesidad de tener en cuenta la criticidad de cada una de las aplicaciones dentro del core de negocio de las empresas, en qué orden deben ser migradas, qué parámetros de integración con otras aplicaciones propias de la compañía o de terceros deben tenerse en cuenta y, por supuesto, cómo hay que desplegar los mecanismos que permitan reforzar la seguridad lógica de acceso a las soluciones y aplicaciones que sean migradas a Cloud.
Siguiendo esta línea, Aitor Jerez, Director Comercial de Sarenet comenta que el éxito de la migración recae en disponer de un buen hoster que acoja en su nube un entorno híbrido y un equipo multidisciplinar que te ayude tanto con la parte de la migración, como con las comunicaciones: “esta es una de nuestras especialidades, y define nuestro servicio de ¨cloud de proximidad¨ en el que conectamos en un entorno híbrido, equipos que trae el cliente con otros virtuales en nuestra infraestructura, todos ellos conectados a una red virtual privada creada para él. Además, conectamos sus centros hasta esos equipos de la forma más rápida, pudiendo darle un servicio de soporte integral y de extremo a extremo entre sus centros y la nube”.
Por su parte, Eduardo Argüeso López, Director Cloud Journey Services de Viewnext añade como base garantizar la eficacia en la ejecución del programa de migración, la adecuación al nuevo modelo de las aplicaciones y su posible modernización y la gestión operativa del nuevo entorno en la nube. “Es fundamental analizar las aplicaciones y la infraestructura subyacente y categorizar el parque afectado para poder definir la estrategia de migración para cada categoría, planificar las sucesivas oleadas de migración a cada “landing zone” definido, y ejecutar dicho plan de forma decidida y sin sorpresas, incluyendo los cambios en los procesos de operación: DevSecOps. Para todo ello es fundamental contar con un equipo de profesionales especializados”, asegura Argüeso.
Cómo obtener valor
El 74% de los líderes empresariales están involucrados en la nube, y muchos lo ven como una plataforma de crecimiento e innovación, a pesar de ello, el 53% no obtiene un valor substancial con esta inversión. Según Carlos García Blanco, Director de OASIX, esto se debe en parte a que la nube fue una explosión descontrolada, “la evolución a la nube tiene que ser una evolución relacionada con la madurez tecnológica de las compañías. No se puede migrar por migrar por una cuestión de moda, cosa que sucedió y sucede. La consecuencia, ha habido una vuelta atrás en la evolución de aplicaciones críticas a la nube, para solo dejar aquellos entornos no críticos, como por ejemplo, el correo, la ofimática, etc. Es primordial hacer un análisis de las aplicaciones, forma de consumirlas, modelos de costes y a partir de ahí fijar una estrategia para logar las ventajas de un modelo basado en nube”.
Y es que, en muchos casos, se realizan las migraciones de las aplicaciones sin que estas sean optimizadas para su uso en Cloud, es decir, se migran de forma “lift-shift” sin que se aprovechen las ventajas de las plataformas Cloud. De ahí que la sensación de gran parte de los líderes de las empresas sea de cierta frustración al sentir que no se está ganando nada con la migración con respecto a cómo se tenía desplegado en la plataforma origen.
Entonces, ¿cómo se puede solucionar?, en palabras de Javier Sánchez Bardón la mejor manera de conseguir que los objetivos marcados por parte de las empresas en la migración se cumplan, pasa por dedicar tiempo a la fase de preparación y análisis. “Es muy importante concienciarse que no todas las aplicaciones son susceptibles de migrar a Cloud y, por lo tanto, es mejor poner el foco en todas aquellas que se identifiquen en fase de análisis como óptimas para ser migradas”, afirma.
Profundizando en la planificación, Ricardo Casanovas, vicepresidente del área de Productos e Innovación SAP en Syntax destaca que siguiendo este punto, ”lo que nos trasladan nuestros clientes y así lo confirma el white paper de Penteo, las empresas que utilizan cloud perciben claramente los beneficios que esperaban en el momento de la contratación. Cloud les está sirviendo de base para desplegar las tecnologías que les permite, como la IA, IoT, blockchain, analítica y Big Data, evitando que los costes de mantener sus sistemas y aplicaciones se disparen. Y para ello, es fundamental tener visibilidad sobre todas las variables que influyen en ellos y conseguir comprenderlos”.
Entornos multicloud
Los entornos multicloud están marcando el presente en muchas soluciones y para muchas empresas. Estas empresas están invirtiendo un tiempo más que necesario en definir las estrategias de migración de sus aplicaciones de forma distribuida en diferentes plataformas Cloud, planificando cuándo y dónde migrar cada una de las soluciones de la compañía.
Cómo indican desde Common MS, “las empresas están apoyándose en organizaciones tecnológicas con amplia experiencia en migraciones a Cloud pública, privada o híbrida para trazar la estrategia migración y gestión de las aplicaciones en ambientes multicloud de la manera más clara, considerando cada paso y la mejor práctica a seguir para cada una de las soluciones”.
Los desafíos a los que se enfrenta una empresa cuando inicia un proceso de migración al cloud están relacionados con la definición de la estrategia de migración
Para el vicepresidente del área de Productos e Innovación SAP de Syntax para lo que más se está imponiendo esta arquitectura de TI híbrida o multicloud es para los sistemas y aplicaciones corporativas, y es que, las empresas quieren obtener lo mejor de cada plataforma y no depender de un solo proveedor. “Eso, sin duda, ofrece ventajas, pero también tiene implicaciones porque exige muchos esfuerzos de orquestación, gobierno de las TI y gestión. Esto es hoy por hoy una asignatura pendiente para muchas organizaciones y tiene un impacto en los costes de la infraestructura, ya que cada plataforma cobrará por las instancias y recursos consumidas”.
A pesar de que este tipo de entornos está marcando el futuro, no todas compañías disponen de una estrategia clara para su gestión, lo que para el Director Comercial de Sarenet está siendo un problema, “pues, no sólo la complejidad de la gestión es mayor al trabajar con plataformas de diferentes empresas, lo peor es que con la complejidad, se deja de tener control de la superficie expuesta susceptible de sufrir un ciberataque. En este sentido, estamos diseñando estrategias en base a lo que tienen las empresas: redes privadas hasta los hosters más populares, federamos NACs con algunos para que la validación esté centralizada, hacemos copias de seguridad de servicios de correo en la nube, filtramos en tiempo real con cortafuegos, instalamos endpoints para proteger el equipo de los usuarios finales,etc…”.
Qué tener en cuenta
El mundo de los negocios ha sido testigo de una explosión de las iniciativas de transformación digital y la adopción de la nube, lo que ha creado una amplia gama de nuevas preocupaciones de seguridad, especialmente de riesgos basados en la identidad. Si a esto le añadimos el hecho de que cualquier identidad puede convertirse en privilegiada bajo ciertas circunstancias con la gran cantidad de identidades humanas y de máquinas que se crean en entornos híbridos, habrá una superficie de ataque cada vez más difícil de defender.
Para abordar el desafío del aumento del número identidades en la nube, Anastasia Sotelsek, Principal Sales Engineer de CyberArk explica que las organizaciones deben confiar en gran medida en el principio de privilegios mínimos, “una política de confianza cero que requiere que todas las identidades, tanto humanas como no humanas, tengan solo los derechos mínimos necesarios para cumplir con sus responsabilidades. El privilegio mínimo no solo elimina los permisos excesivos, sino que también limita el número de entidades que pueden otorgar o configurar nuevos permisos, lo que dificulta que los atacantes que asaltan una identidad determinada escalen los privilegios y, en última instancia, alcancen sus objetivos”.
Si nos centramos en las pymes, para Gonzalo Echeverría, tener una conectividad de red rápida y fiable en dispositivos como sistemas de pago en puntos de venta (PoS) móviles, señalización digital, dispositivos IoT y cualquier otro dispositivo de red es fundamental, “además, es necesario ampliar las redes corporativas para que soporten un servicio conectado «siempre» en zonas a las que no llega una red de Internet tradicional para abrir más oportunidades de interactuar con tus clientes. La nube proporciona todo ello gracias a una gestión flexible y sencilla”.
Por su parte, Eduardo Argüeso López comenta que a la hora de gestionar entornos en la nube es necesario tener en cuenta los mismos dominios que en cualquier entorno IT, pero con elementos y dimensiones nuevos inherentes al entorno de la nube. “Así, elementos básicos de visibilidad y disponibilidad, gestión de incidentes y cambios y niveles de servicio. También elementos de seguridad, gestión de vulnerabilidades, parcheado y gestión de incidentes. Evidentemente, la gestión de las aplicaciones desplegadas en la nube, en su ciclo de vida completo, resolución de fallos, parcheado, modernización, gestión de las bases de datos, gestón de contenedores / Kubernetes. Por último, como un elemento diferencial, optimización del modelo “FinOps”, monitorizando la utilización de los recursos contratados, la facturación diferencial y la optimización del consumo”.
Qué cargas todavía no se migran
Los programas que tienen que ver con la planificación global del negocio son los últimos que se suelen llevar a la nube, el ERP es un caso claro. Y es que, muchas cargas de trabajo todavía no se han migrado a la nube. ¿Es por miedo, o por rentabilidad?, Aitor Jerez manifiesta que este segundo punto tiene mucho que ver, “las licencias suelen ser uno de los motivos que frenan la migración de estos ERPs, que en ocasiones acaban en equipos del cliente pero alojados en nuestros data centers. Nuestra oferta híbrida, en la que el cliente conecta equipos propios y virtuales en nuestra infraestructura conectados en una red privada, facilita mucho dar este paso hacia a la nube. Aunque ya son muchas las empresas que ofrecen su software en la nube directamente”.
Si hablamos de migraciones en formato SaaS, Francisco Cosín, Director de Cloud & Data Center de IaaS365 interpreta que migrar a la nube soluciones en formato Software como Servicio, como puede ser el correo electrónico, es mucho más fácil de digerir por las organizaciones, el beneficio es claro y rápido de asimilar. Mientras que, “las soluciones de Infraestructura como Servicio que dan respuesta a la migración de sistemas críticos y de desarrollos a medida, son las que requieren de más análisis para su éxito. Pero son el siguiente paso de las empresa que han emprendido el camino hacia la nube partiendo por soluciones SaaS”.
Queda claro que en general, se está ganando confianza en el uso de las plataformas Cloud. Bien es cierto que hay reticencias a llevar a la nube procesos de negocio críticos los cuales, muchas empresas, consideran muy sensibles como para exponerlos a las posibles vulnerabilidades que sobrevuelan alrededor de las plataformas cloud, con mayor o menor acierto.
Como explica Javier Sánchez Bardón, “a pesar de que el cloud cada día toma más peso en las organizaciones, las áreas tecnológicas no han sido las prioritarias en inversiones dentro de las empresas y, en ocasiones, este hecho produce que las organizaciones no alcancen la madurez tecnológica que facilite la migración a la nube de las aplicaciones o procesos”.
Seguridad en la nube
Los peligros de las identidades con permisos excesivos y la dificultad de configurar de forma segura los servicios en grandes entornos de nube son un reto prioritario para muchos responsables de seguridad. Por ello, es importante revisar continuamente los permisos, y es que , las organizaciones altamente reguladas en España pueden enfrentarse a sanciones financieras si se incumplen. Por este motivo, las empresas deben aplicar continuamente los privilegios mínimos en sus cargas de trabajo locales y en la nube para garantizar su cumplimiento.
Entonces ¿sigue existiendo cierta desconfianza hacia la nube en lo que respecta a la seguridad?. Para Marcos Paredes, CTO de Ozona Tech lo que existe es miedo, “esto es legítimo, pero todos sabemos que un entorno en cloud no es más vulnerable que uno on-premise. Pero el on-premise está bajo nuestro control y eso nos da una cierta seguridad. Debemos tener claro que desde el momento que tenemos que abrir puertas al exterior, los entornos ya no están al 100% bajo nuestro control”.
Mientras que para Aitor Jerez, la respuesta a si existe cierta desconfianza sobre la seguridad en la nube, es un rotundo Sí, “la desconfianza es uno de los mayores frenos, pero creo que se está dando un punto de inflexión. Los directivos ven cómo están sufriendo incidentes de ciberseguridad en sus propias instalaciones y se dan cuenta de que no cuentan con personal ni medios propios para protegerse de este fenómeno. Es cuando miran a las empresas que dan el servicio en la nube de otra forma, ya que cuentan con más personal técnico cualificado en ciberseguridad y conocen mejor las medidas que se deben adoptar para ser más seguros. En nuestro caso, la cercanía y tamaño, nos hace ser menos anónimos de cara a nuestros clientes que acaban conociendo el nombre de los técnicos que los atienden”.
En relación a lo anterior, si se quiere acabar con esta inseguridad sea cual sea el modelo de cloud que se elige, la estrategia debe ir orientada a aislar y proteger toda aquella plataforma o solución que es crítica para el negocio. Y es que, en esa estrategia no puede caerse en el error de dejar en manos del proveedor cloud todo lo relacionado con la seguridad de la plataforma. Cada empresa debe tener en cuenta las medidas de seguridad aplicadas en la plataforma on-premise, extrapolarla a la plataforma cloud y potenciarla con las herramientas existentes.
Anastasia Sotelsek, Principal Sales Engineer de CyberArk explica que una de las claves para mejorar la seguridad en los entornos cloud es el empleo de permisos, “hay más de 15.000 permisos en AWS, Azure y la plataforma Google Cloud. Si bien un número excesivo limita la fricción de los desarrolladores, también tiene implicaciones de seguridad significativas, ya que cualquier permiso de IAM puede convertirse en un arma como una vía potencial para los atacantes. Las organizaciones también pueden pasar por alto los permisos obsoletos, como no revocar el acceso de los desarrolladores a los buckets de almacenamiento y los pods de contenedores al finalizar un proyecto. La aplicación de privilegios mínimos y la validación continua de identidades pueden reducir eficazmente la superficie de ataque para las organizaciones y reducir el riesgo al disuadir elementos internos malintencionados e impedir el acceso a atacantes externos”.
Por su parte, Iñaki Zárate habla de la seguridad por diseño, “La seguridad tiene que formar parte de la estrategia cloud, siendo evaluada en la fase de diseño de cualquier servicio que vaya a ser desplegado en cloud.Para que esto sea posible, las soluciones de seguridad, deben estar alineadas con las particularidades de los servicios cloud permitiendo una integración transparente que no impacte en las bondades de dicho servicio. Un ejemplo en este sentido pueden ser los microservicios basados en containers los cuales son muy dinámicos cambiando de manera muy constante. Aquí la seguridad debe ser capaz de integrarse como una fase más del despliegue de dicho container integrándose en el ciclo de vida CI/CD del mismo”
Pero al final, como comenta Aitor Jerez, lo mejor para desarrollar una estrategia cloud segura es dejarse asesorar por personal experto que cubra todas las áreas involucradas en estos procesos de externalización: comunicaciones, sistemas y ciberseguridad. “Debemos cambiar todos el chip y pensar que no existirá un momento en el que todos nuestros sistemas sean ¨seguros¨ y no estemos expuestos, así que tenemos que trabajar en un proceso de mejora continua con indicadores objetivos que nos digan nuestro grado de ¨ciberexposición¨. Nuestra empresa ya cuenta con estas herramientas que desplegamos con nuestros clientes para ayudarles a funcionar en esa clave”.
Ataque Solarwinds
Ataques como el de Solarwinds ponen en entredicho la seguridad de los entornos cloud, sobre todo en lo que respecta a las actualizaciones. De ahí que surja la incógnita, ¿qué debe hacer un CISO para prevenir estos ciberataques? Anastasia Sotelsek, Principal Sales Engineer de CyberArk explica que lo principal es adoptar un enfoque ZeroTrust. “Ataques como los de Solarwinds han generado urgencia en muchos CISOs para proteger credenciales privilegiadas y romper la cadena de ataque adoptando la mentalidad de que el atacante puede encontrarse dentro de su red. Por ello, el uso de enfoques Zero Trust es una de las mejores decisiones que pueden tomar estos directivos”.
Para Iñaki Zárate, Sales Engineer de Trend Micro Iberia lo principal es la gestión de vulnerabilidades, la cual representa un gran reto para las organizaciones puesto que se descubren cientos de ellas de manera frecuente y estas pueden incrementar, por si solas, el índice de riesgo y exposición a un potencial ciberataque. Sobre esto, el directivo afirma que, “un CISO debe seguir un proceso de gestión para prevenir cualquier tipo de vulnerabilidad. Podemos definir este proceso de gestión en 3 fases: Inventario de sistemas operativos y aplicaciones, Evaluación Continúa, Mitigación y Parcheado. Este último no sería posible sin los pasos anteriores y podrá llevarse a cabo de una manera mucho más ordenada siempre y cuando el riesgo haya sido mitigado previamente”.
