Es difícil migrar hacia la nube. Las presentaciones de PowerPoint y las arquitecturas se crean rápidamente pero el trabajo requerido para realmente realizar la migración tomará meses y posiblemente años.
Las primeras etapas requieren de esfuerzos importantes de parte varios equipos para aprender nuevas tecnologías (los mismos servicios en la nube) y nuevas formas de trabajar (el modelo de responsabilidad compartida).
En las primeras etapas de sus esfuerzos en la nube, el centro de expertise en la nube es un modelo lógico para seguir.
Centro de Excelencia
Un centro de excelencia en la nube es exactamente lo que suena. Su organización forma un nuevo equipo–o un equipo existente asume el rol–para enfocarse en crear los estándares y arquitecturas en la nube.
A menudo son “el” equipo para abordar cualquier cuestión de la nube. Desde lo más sencillo (“¿qué es un bucket S3 de Amazon?”), a lo avanzado (“¿cuáles son las ventajas de Amazon Aurora sobre RDS?”), hasta lo complejo (“¿cuál es el keying óptimo para indexar/sortear para esta tabla de DynamoDB?”).
El centro de excelencia en la nube es la única parada para la nube en su organización. Al principio, esta elección de diseño organizacional puede acelerar la adopción de las tecnologías en la nube.
Demasiado centralizado
El problema es que la adopción acelerada no necesariamente se correlaciona con un entendimiento y aprendizaje acelerados.
De hecho, conforme al centro de excelencia continúa creciendo existe una falla inversa en el aprendizaje organizacional que puede crear una falta generalizada de fluencia en la nube.
La fluencia en la nube o “cloud fluency” es una idea introducida por Forrest Brazeal en A Cloud Guru Que describe la capacidad general de todos los equipos dentro de una organización Para discutir las tecnologías y soluciones en la nube. Este blog post de Forrest ilustra esta situación y se puede resumir en esta caricatura:
[image url=”https://blog.trendmicro.com/wp-content/uploads/2020/06/Image1.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Mark Nunnikhoven también habló con Forrest en el Segundo capítulo de la segunda temporada de #LetsTalkCloud.
Aunque el equipo del centro de excelencia en la nube se proponga enseñarle a todos, el trabajo se acumula rápidamente y el equipo cambia su enfoque de uno educativo a 1 con la mentalidad de “arregla todo”.
Lo que antes era una acelerador en la nube, ahora es un lugar en el que su talento top la nube se agota y se abruma.
El pasado de la seguridad
Si ha puesto atención a cómo operan los equipos de ciberseguridad y dentro de las organizaciones, probablemente se ha dado cuenta de que existen muchas similitudes preocupantes.
Los equipos de ciberseguridad también son considerados un centro de excelencia y el equipo central dentro de la organización donde se concentra el conocimiento de seguridad.
La mayoría de las solicitudes sobre arquitecturas, consejos, operaciones de seguridad y en general cualquier cosa que incluya el prefijo “ciber”, la palabra “riesgo” o rastros de “hacking” son dirigidas a este equipo.
Esto no es necesariamente la culpa del equipo. A lo largo de los años, los sistemas han incrementado su complejidad, cada vez ocurren más incidentes de seguridad y los equipos de seguridad rara vez tienen la oportunidad de ver hacia el futuro. Están muy ocupados en modo de “apagar fuegos” para dar un paso hacia atrás y re-evaluar la estructura de diseño organizacional dentro de la cual trabajan.
De acuerdo con Gartner, por cada 750 empleados en una organización, uno de ellos está dedicado a la ciberseguridad. Esas son posibilidades imposibles que han llevado a una brecha masiva de habilidades de ciberseguridad.
La Fluencia es el Camino Hacia Adelante
La seguridad debe seguir el ejemplo de la fluencia en la nube. Necesitamos “fluencia en la seguridad” para poder importar la postura de seguridad de los sistemas que hemos construido y para reducir el riesgo que enfrentan nuestras organizaciones.
Esta es la razón por la que los equipos de seguridad necesitan enfocar sus esfuerzos para educar a los equipos de desarrollo. DevSecOps es un término lleno de malentendidos y le hace falta el contexto para llevar a cabo los cambios necesarios, pero es necesario para incrementar el conocimiento de la falta de la fluencia en la seguridad.
La adopción exitosa de una filosofía DevOps es acerca de eliminar las barreras para el éxito de los clientes. Ofrecerle a los equipos las herramientas y la autonomía que requieren es un factor crítico en su éxito.
La seguridad es solamente un aspecto del desarrollo dentro del kit de herramientas del equipo. Depende del equipo actual de seguridad ayudar a educarlos sobre los principios que impulsan la seguridad moderna y cómo aseguran que los sistemas que construyan funcionen como deben… y solamente como deben.
Leave a Reply