Getting Started with FinOps: Why Cloud Security is Your Step Zero | SoftwareONE Blog

Primeros pasos con FinOps

Por qué la seguridad en la nube es su paso inicial fundamental

Primeros pasos con FinOps: Por qué la seguridad en la nube es su paso inicial fundamental

La gestión de las finanzas en la nube es un equilibrio delicado. Las organizaciones adoptan la nube para reducir los costos que genera el funcionamiento de sus propias redes y servidores informáticos centralizados. Sin embargo, los equipos de ingeniería y los de finanzas suelen entrar en conflicto porque hablan lenguajes empresariales distintos. Además, avanzar en la seguridad de la nube, ya sea a través de la experiencia o de medios técnicos, también aumenta los costos de la nube.

La gestión financiera en la nube (FinOps) se encuentra en la intersección de la ingeniería, las finanzas y la seguridad. Dado que se prevé que el gasto en la nube superará los 330 000 millones de dólares en el 2022, la creación de un equipo de FinOps interfuncional que incluya a miembros de los equipos de ingeniería, finanzas y seguridad es un fundamental. Tanto si el objetivo es controlar los costos derivados de las cargas de trabajo en la nube, como el fraude o las vulneraciones de datos, la unificación de estos equipos en torno a la seguridad en la nube es el paso inicial más importante antes de comenzar con las FinOps. Analicemos en detalle cómo se puede comenzar.

El panorama actual del gasto en la nube

En el transcurso del último año, las organizaciones han acelerado sus estrategias de adopción de la nube. Según Forbesel 97 % de los ejecutivos afirmó haber acelerado sus estrategias de transformación digital, y las investigaciones indican que a transformación digital se ha acelerado en una media de seis años.

Según indica una previsión de mercado de IDC de octubre del 2020, la adopción de la nube y las oportunidades seguirán expandiéndose en todo el mundo. El pronóstico predice lo siguiente:

  • El gasto total mundial en servicios en la nube superará los 1.0 billones de dólares en el 2024.
  • El sector mantendrá una tasa de crecimiento anual compuesta de dos dígitos del 15,7 %.
  • Los servicios en la nube públicos y privados se convertirán en la mayor categoría de ingresos globales y se prevé que ofrezcan una tasa de crecimiento anual compuesta de cinco años del 21 %.
  • La categoría "como servicio" representará más del 60 % de los ingresos mundiales de la nube.

Desde un alto nivel, estas estadísticas demuestran el aumento de la migración a la nube. La visibilidad de cómo las organizaciones y los equipos de ingeniería están utilizando la nube proviene de un informe de Forrester/CapitalOne, "Cloud Container Adoption in the Enterprise" (Adopción de contenedores en la nube en la empresa) que indica lo siguiente:

  • El 86 % de los líderes de TI priorizan el uso de contenedores para más aplicaciones.
  • El 50 % adopta contenedores para mejorar la colaboración entre desarrolladores y operaciones.
  • El 46 % adopta contenedores para mejorar la experiencia de los desarrolladores.

Sin embargo, el mismo informe también indica que los encuestados de las empresas señalaron los siguientes dos "principales desafíos": la supervisión del tiempo de ejecución de los contenedores y la supervisión y la gestión del rendimiento de las aplicaciones/contenedores. Al verlos en conjunto, estos dos informes proporcionan un panorama más definido de la adopción de la nube. Si bien las organizaciones siguen adoptando los servicios en la nube, también reconocen que la gestión del gasto en la nube requiere revisar las prácticas financieras y de adquisición del departamento de ingeniería.

Cómo hacer que su equipo de finanzas trabaje con FinOps

FinOps les ofrece a las organizaciones una forma de satisfacer las necesidades estratégicas de uso de la nube de la empresa y controlar los costos. Introducir al equipo de finanzas en el mundo de la gestión de los gastos en la nube significa comunicar eficazmente tanto las necesidades de TI como las financieras. Y allí es donde entra en juego FinOps. La creación de un equipo de FinOps interfuncional establece la responsabilidad financiera sobre la nube. Fundamentalmente, FinOps es un enfoque cultural de la gestión de los costos de la nube que se basa en seis principios básicos:

  • Colaboración
  • Toma de decisiones empresariales basadas en el valor
  • Responsabilidad por el uso de la nube
  • Informes accesibles y oportunos
  • Centralización
  • Optimización del modelo de costos variables de la nube

La creación de un equipo imparcial y centralizado que incluya a profesionales de ingeniería y finanzas permite una colaboración más estrecha al crear valores y un lenguaje comunes. Por ejemplo, los ingenieros quieren entregar software de forma rápida y fiable, mientras que el equipo de finanzas necesita prever y predecir el gasto con precisión. Aunque parezca que estos dos equipos están en desacuerdo, la realidad es que solo hablan idiomas ligeramente distintos. Una comunicación regular garantizará que estos equipos trabajen en conjunto para lograr ambos objetivos.

Los equipos financieros están acostumbrados a entender el gasto en tecnología en términos de costos de capital y su depreciación. Sin embargo, en su libro "Cloud FinOps: Collaborative, real-time cloud financial management" (FinOps en la nube: Gestión financiera de la nube colaborativa y en tiempo real), Storment y Fuller señalan que los equipos de finanzas pueden entender mejor el gasto en la nube cuando se lo ve como un gasto operativo. La clave es que deben entender que se mueve en microsegundos.

Por ejemplo, Storment y Fuller explican que, aunque el uso de contenedores empaqueta más servicios en los mismos recursos informáticos, también reduce la visibilidad de los datos de facturación. Al crear un equipo de FinOps, las organizaciones establecen un enfoque de colaboración en el que los ingenieros trabajan con su equipo de finanzas para explicar cómo funciona el uso de contenedores. A su vez, los equipos de ingeniería logran comprender mejor por qué los equipos de finanzas se sienten frustrados al ver facturas en la nube que carecen de datos asociados.

Más allá de la parte de ingeniería de los costos de la nube, los equipos financieros y de compras también tienen en cuenta los costos de seguridad. Las herramientas de seguridad, como el inicio de sesión único y la gestión de claves, se suman a los costos operativos de la migración a la nube. A la vez, surgen nuevos riesgos de fraude a medida que las organizaciones adoptan soluciones de gestión de recursos empresariales (ERM) basadas en la nube, y mitigarlos requiere medidas adicionales para separar mejor las funciones. Al reunir el liderazgo de seguridad e ingeniería con los departamentos de finanzas y adquisiciones en un equipo combinado de FinOps, las organizaciones pueden crear enfoques estándar y orientados al negocio para el gasto de los recursos en la nube y todas sus herramientas de seguridad.

En última instancia, FinOps proporciona la forma más eficiente para que los equipos gestionen sus costos en la nube mediante la creación de un enfoque de colaboración e intercambio de información en el que todos se hacen cargo de su uso de la nube, con el apoyo de un grupo central de mejores prácticas.

La seguridad en la nube es su paso inicial fundamental

La seguridad en la nube debe considerarse como la base sobre las organizaciones construyen sus iniciativas de FinOps. Fundamentalmente, una fuerte seguridad en la nube disminuye los costos de la misma al reducir la probabilidad de fraudes y vulneraciones, y al supervisar los contenedores y las cargas de trabajo en la nube en busca de errores de configuración. De esta manera, se reducen los riesgos y, a la vez, se optimizan los costos, dos aspectos fundamentales de las FinOps.

Cuando los equipos de finanzas y de ingeniería trabajan en conjunto para alcanzar un objetivo común orientado al negocio, pueden aprovechar el poder de la nube y obtener notables beneficios en cuanto a costos. Analicemos con mayor profundidad funcionalidades algunas funcionalidades relacionadas con la seguridad.

Gestión de riesgos

Según el informe Cost of a Data Breach 2020 (Costos de una vulneración de datos del 2020), el costo total medio de una vulneración de datos fue de 3,86 millones de dólares y la pérdida de oportunidades de negocio supuso el 40 %, o 1,52 millones de dólares, de esa cantidad. Estos son algunos de los gastos que redujeron los costos medios:

  • Pruebas de respuesta a incidentes: USD 295 267
  • Plataforma de IA: USD 259 354
  • Servicios de seguridad gestionados: USD 78 054

Comprender los riesgos y mitigarlos no solo reduce la probabilidad de que una organización experimente una costosa vulneración de datos, sino que también reduce los costos de los incidentes. Obtener un plan de desarrollo completo para la nube, como el que se ofrece a través de servicios gestionados en la nube, puede reducir el riesgo en las operaciones diarias en la nube.

Prevención de fraude

Los controles de prevención de fraude también pueden contribuir al ahorro de costos. Antes de implementar una estrategia en la nube, el equipo de FinOps debe considerar riesgos como los siguientes:

  • Robo de credenciales
  • Uso indebido de acceso interno malintencionado
  • Conflictos de intereses

En las pilas basadas en la nube, los controles de gestión de identidad y acceso (IAM) reducen los riesgos de vulneración de datos y de fraude. Limitar el acceso de acuerdo con el principio del mínimo privilegio y establecer controles de segregación de funciones también puede reducir el uso indebido de accesos malintencionado y accidental.

Las organizaciones deben asegurarse de incorporar continuamente el costo de las soluciones de estas herramientas de seguridad en la nube al establecer sus presupuestos.

Prevención de errores de configuración

Según el informe de 2020 Data Breach Investigations, las vulneraciones de datos causadas por recursos en la nube mal configurados aumentaron un 4,9 % interanual con respecto al 2019, y los errores de configuración son uno de los cinco principales tipos de acciones de amenaza del año.

Recursos como los contenedores y las cargas de trabajo basadas en la nube suponen riesgos de vulneración de datos. En última instancia, esto significa que, al tener en cuenta estos riesgos a la hora de tomar una decisión de migración a la nube, las organizaciones deben considerarlos como un costo potencial.

La protección de las cargas de trabajo en la nube con un servicio como Cloud Workload Security de SoftwareONE les permite a las organizaciones proteger los activos en la nube en entornos multinube e híbridos, como Azure, AWS y arquitecturas locales. Al mitigar los riesgos de vulneración de datos mediante la protección de las API y las interfaces de usuario y, a la vez, garantizar los controles de IAM adecuados, las organizaciones pueden aprovechar la escalabilidad de la nube sin comprometer la seguridad.

Reflexiones finales

Para seguir siendo competitivas, las organizaciones necesitan acelerar sus estrategias de nube. Sin embargo, también necesitan asegurarse de gestionar sus costos de forma eficaz. Aunque, a primera vista, estas dos actividades parecen entrar en conflicto, están intrínsecamente entrelazadas.

Desarrollar FinOps sobre una base de seguridad les permite a las organizaciones proteger la información y, a la vez, garantizar una escalabilidad continua. Con herramientas como PyraCloud de SoftwareONE, los equipos de ingeniería y finanzas que trabajan conjunto hacia un objetivo común basado en el valor del negocio pueden desarrollar una estrategia de nube optimizada en cuanto a costos. Las herramientas de PyraCloud proporcionan visibilidad y responsabilidad sobre el uso del software y el gasto en la nube. Los equipos de ingeniería pueden hacer un seguimiento de cómo utilizan los recursos en la nube, y los equipos financieros pueden obtener información procesable sobre su gasto actual y futuro previsto.

Descubra el por qué, el qué y el cómo de la seguridad en la nube

En el entorno de la nube, deben implementarse muchas funcionalidades relacionadas con la seguridad para protegerse de acciones fraudulentas. Para obtener más información sobre cómo la seguridad puede actuar como el "paso inicial fundamental" de FinOps, descargue nuestro libro electrónico "Fundamentos de la seguridad en la nube".

Descargar ahora

Comenta este artículo

¡Deja un comentario para hacernos saber lo que piensas sobre este tema!

Deja un comentario

Autor

Bala Sathunathan

Bala Sethunathan

Director, Security Practice & CISO

Cybersecurity

Artículos relacionados

Getting Started with a Cyber Security
  • 12 julio 2022
  • Joe Morley
  • Seguridad Gestionada, Cybersecurity User Awareness, cloud-security, Ciberseguridad, Digital Transformation
  • Ciberamenazas, Ciberataque

Introducción a la ciberseguridad: Ciclo y tipos de ataques

Las organizaciones de beneficencia y sin fines de lucro escuchan hablar mucho acerca de la seguridad. Volvamos a lo básico. Este primer artículo describe el ciclo de los ataques y cómo se producen.

Cyber Security Update January 2022 | SoftwareONE Blog
  • 14 febrero 2022
  • Bala Sethunathan
  • Cybersecurity User Awareness, cloud-security, Cyber Threat Bulletin, Ciberseguridad
  • Noticias, Actualizaciones

Noticias sobre ciberseguridad de enero del 2022

Si bien el 2021 fue un año de mucha incertidumbre, en el ámbito de la ciberseguridad, hay ciertas garantías: Los actores de las amenazas seguirán atacando.

Passwordless Strategy
  • 08 noviembre 2021
  • Bala Sethunathan
  • Seguridad Gestionada, Cybersecurity User Awareness, cloud-security
  • Microsoft 365, Gestión de identidad, Access Management, Microsoft

Estrategia de autenticación sin contraseñas: Beneficios y más

Las contraseñas son notoriamente difíciles de mantener seguras, ¿pero qué pasaría si hubiera otra forma de autenticación? A continuación, le explicamos cómo puede poner en práctica su estrategia sin contraseñas.