En su libro Introducción a la Cibernética, publicado en 1956, W. Ross Ashby estableció un marco para la gestión de los sistemas de comunicaciones. Para tratarse de un libro publicado hace más de sesenta años, proporciona algunas ideas que todavía nos son útiles hoy en día. Una de los principales es el Principio de Oscuridad, donde es imposible que una sola persona vea y entienda cualquier sistema suficientemente complejo.
Para los equipos deGestión de Servicios de TI, Gestión de Activos de TI y Seguridad, el principio deoscuridad representa un problema más amplio: ¿cómo podemos prestar servicios deforma eficaz cuando no podemos saber todo lo que tenemos? ¿Cómo podemosmantener esos servicios y dispositivos seguros y protegidos? ¿Cómo podemosrastrear esos dispositivos y saber qué elementos los componen?
Hoy en día, lacomplejidad de los sistemas ha seguido creciendo y multiplicándose. Eldesarrollo de proyectos de transformación digital que utilizan combinaciones deaplicaciones, cloud y servicios ha llevado a un cambio más rápido. Esta complejidadha crecido junto con las amenazas y riesgos de seguridad para esos dispositivosy sistemas. Resolver este problema es más importante que cualquier individuo oequipo – y se basará en la colaboración para obtener todos los datos necesariosy utilizarlos en todos los diferentes casos de uso.
¿Por qué es tan difícil saber lo que tienes?
El mayor problema esla falta de visibilidad en torno a los activos de TI. Para los profesionalesdel ITAM a largo plazo, esta brecha entre los activos de hardware existentes ylos registros en el CMDB ha sido un problema perenne durante años. Aunque ahoraes fácil obtener información sobre los dispositivos conectados a la red, elcrecimiento del trabajo en movilidad ha dificultado el seguimiento de losordenadores portátiles y del software instalado en ellos. Obtener esta listaprecisa de activos es esencial, pero asegurarse de que esté actualizada y seaprecisa en todas las versiones de hardware y software sigue siendo un reto.
Otro de losproblemas es que hay más dispositivos conectados a la red que no sonordenadores de sobremesa o portátiles tradicionales. El crecimiento de lainformática en torno a máquinas más pequeñas, como la Raspberry Pi y losdispositivos conectados que forman parte del Internet de las Cosas ha hecho quesea más difícil saber qué hay en la red en todo momento.
Paralelamente, se haproducido un aumento de los activos de TI alojados en la nube, lo que hadificultado el trabajo de ITAM. En lugar de ejecutar aplicaciones odispositivos en el centro de datos de la empresa, las aplicaciones puedenmigrarse a un servicio público de cloud computing o ejecutarse como un serviciode un proveedor. Otro aspecto más desafiante para la gestión de activos esobtener información sobre todas las aplicaciones que se utilizan, ya seanaplicaciones internas que se ejecutan en sistemas como AWS, Google CloudPlatform o Azure, o aplicaciones de Software-as-a-Service que se entregan através de un navegador.
Hoy en día, hay otratendencia a considerar. Las nuevas aplicaciones se están desarrollando yejecutando en contenedores de software: se trata de instancias pequeñas yligeras que contienen sólo los elementos necesarios para ejecutar un componentede aplicación. Por lo general, se ejecutan en los servicios en la nube duranteel tiempo que se necesitan, y el número de contenedores puede aumentar o disminuiren función de la demanda de un servicio por parte de los clientes o usuarios.
Lo que hace que loscontenedores sean más desafiantes desde la perspectiva del ITAM es que sonefímeros. En lugar de ser configurados y ejecutados durante años, los contenedoresse solicitan a una biblioteca de imágenes, se ejecutan en la nube y luego seapagan cuando ya no son útiles. Aunque tienden a estar construidos sobrecomponentes de software de código abierto, lo que elimina algunas de laspresiones de las licencias de software, pueden existir durante horas o inclusominutos. Desde una perspectiva de gestión de activos, esto hace que la administraciónde una lista precisa de lo que está en marcha sea muy difícil.
Tomemos todas estastendencias en su conjunto -el crecimiento de IoT, el aumento de la nube y laintroducción de contenedores- junto con el continuo problema de mantener unalista detallada de activos, y el problema que existe debería ser claro. Sinembargo, ¿qué podemos hacer para solucionar el problema?
Colaboración entre los activos, la seguridad y el servicio: cambio de objetivos
Es necesario saber,dentro del negocio, quién requiere una lista de activos precisa y actualizada,y por qué. Por ejemplo, los equipos de seguridad de TI deben mantener los activosde la empresa protegidos contra amenazas externas. Estos equipos también tienenque mantener una lista de vulnerabilidades de software y de TI, tanto si laorganización corre el riesgo de sufrirlas como si no, y luego priorizar laforma de corregirlas o parchearlas con el tiempo.
Para los equipos deITAM y de seguridad por igual, estos datos son esenciales, pero se puedengenerar en silos. En cambio, los equipos pueden colaborar para asegurarse deque tienen toda la información sobre los activos que necesitan.
Lo que estosignifica en la práctica es que estos equipos deben reunirse para crear unalista precisa de activos de TI y mantenerla actualizada en tiempo real. Paralos equipos de ITAM e ITSM, el acceso a estos datos puede conducir a cambios ensus prioridades e indicadores clave de rendimiento (KPI). En lugar de centrarseen la elaboración de una lista de activos y en mantenerla actualizada, deberíaenfocarse mucho más en cómo utilizar esos datos para el cumplimiento de laslicencias, la reducción de costes y la reasignación de activos allí donde seanecesario.
Esto también puede ayudar a los equipos a hacer frente a uno de los mayores problemas del ITAM: la variación. En el inventario medio de activos fijos, los nombres de los proveedores pueden representarse de ocho maneras diferentes, mientras que el mismo producto puede existir también con veinte nombres diferentes. Junto a esto, es posible que se desarrollen diferentes complejidades en los nombres de los productos. Esta variación dificulta la gestión de la coherencia entre los equipos; desde el punto de vista de la seguridad, dificulta la correlación de las posibles vulnerabilidades; para ITAM, complica la gestión de activos y el proceso de cumplimiento de licencias. Como parte del enriquecimiento de los datos sobre activos, los datos de inventario deberían normalizarse para que sea más fácil gestionar la variación.
- Raúl Benito es Territory Account Manager de Qualys para España y Portugal