Consejos sobre cómo manejar la contratación de servicios cloud no autorizados por parte del jefe de infraestructura de la BBC.
Tanto si a las empresas les gusta como si no, el personal ha comenzado a contratar servicios cloud para utilizarlos en el trabajo sin la sanción del departamento de TI.
El reto de tratar este problema bajo el radar de la adquisición de SaaS y otros servicios ha llevado a la BBC a adoptar un enfoque multifacético para tratar el problema.
En lugar de intentar acabar con la práctica, un enfoque que muchos consideran inútil, la empresa está intentando minimizar el riesgo asociado a la compra de servicios en la nube por parte del personal.
«Estamos analizando cuáles son las cosas que esos compradores necesitan saber», dijo Paul Boyns, jefe de estrategia de infraestructura y arquitectura de la BBC, en el Cloud World Forum de Londres.
«Hay algunas cosas que podemos controlar y otras que queremos influenciar. Este es un viaje y en realidad va a llevar bastante tiempo para que la BBC en su conjunto tenga una visión coherente de cómo se realiza la compra en la nube y para que se gestione o supervise adecuadamente».
Boyns describió ocho áreas que deben abordarse a la hora de ayudar al personal a comprar los servicios cloud adecuados para sí mismos y para la organización.
- Enseñar a la gente a reconocer si se trata de un servicio en la nube Ayudar al personal a entender la diferencia entre un servicio gestionado y una oferta interna, para que sepan si lo que quieren comprar «encaja en esta escurridiza categoría de nube».
- Enseñar a los usuarios a reconocer qué tipo de servicio en la nube es el adecuado para la tarea que desean llevar a cabo. Educar a los usuarios sobre cómo el tipo de datos manejados, la criticidad de la función de negocio y otros factores determinan si una tarea es adecuada para ser ejecutada desde una nube pública, así como consideraciones tales como si los datos necesitan ser almacenados en un centro de datos basado en una región en particular.
- Considere las formas de adquirir ese servicio ¿Su organización dispone de marcos que pueden utilizarse para obtener ese servicio en la nube con mayor facilidad o en condiciones más favorables?
- Tenga cuidado con la letra pequeña Tenga en cuenta los términos y condiciones de los servicios a los que se suscribe su personal, especialmente cuando permiten que el proveedor reclame la propiedad de sus datos. «Es muy poco probable que un miembro promedio de un equipo de una organización pueda salir y determinar los términos de una orden de compra que va a colocar», dijo Boyns. «Es un solo clic en un botón para que ellos firmen un contrato en nombre de su organización con términos y condiciones que tal vez usted no quiera firmar.»
- Tenga cuidado con las gotchas de seguridad Tenga cuidado con los riesgos, como el personal que utiliza las mismas credenciales de inicio de sesión en todos los servicios corporativos y de terceros.
- ¿Es compatible? ¿Qué normativa afecta a los datos que se transfieren a estos servicios? Por ejemplo, ¿está sujeto a la Ley de Protección de Datos del Reino Unido y es probable que usted la viole debido a que el proveedor está sujeto a una obligación de compartir datos bajo la Ley Patriota de los Estados Unidos?
- Vigila las aplicaciones Asegúrate de que la organización no se encuentre pagando el precio de una aplicación que se haya comportado mal. «Los proveedores de cloud computing pueden aplicar límites de software si creen que una aplicación se está comportando de forma indisciplinada», dijo Boyns, y entre estos límites se incluye el bloqueo o la restricción del acceso a una API ofrecida por el servicio de cloud computing.
- Bloqueo del proveedor Considere lo fácil que sería dejar de usar este servicio y eliminar sus datos. ¿Y cuán aceptable sería el bloqueo en relación con esta función de datos y de negocio?
Dónde enfocar su atención
Para supervisar el proceso de simplificación de la compra de cloud computing en la BBC, la corporación ha establecido un grupo central para la gestión de la política de cloud computing. El organismo está formado por representantes de varios departamentos, entre los que se incluyen los departamentos jurídicos, de política de información, de seguridad, de arquitectura y de entrega de TI, así como por un gran número de representantes de los usuarios.
El grupo se centra en el seguimiento del uso de los servicios en la nube y en cómo la BBC debería tratar de regular, informar y comunicar la adopción de estos servicios. Boyns dijo que el grupo establece y retransmite las políticas de uso de la nube, y también determina los flujos de trabajo de cumplimiento que llevan al personal a través de las preguntas que necesitan hacer paso a paso.
«Tener un flujo de trabajo por el que pueda pasar alguien de la organización. Ayúdales a hacer un montón de preguntas y al final de la misma dice:’Dada la continuidad del negocio, la sensibilidad de los datos, la criticidad del servicio, esto es lo que puedes hacer’ – por ejemplo:’puedes alojarlo en una nube privada y tiene que ser dentro de la UE'».
En términos generales, las responsabilidades de este órgano central son las siguientes
- Concienciación del mercado Permite a los usuarios de negocios saber qué proveedores y productos están disponibles para satisfacer sus necesidades y aconsejar en qué regiones es seguro comprar.
- Adquisiciones Proporcionar un mecanismo de adquisiciones, como los acuerdos marco, con los proveedores de cloud computing para facilitar la compra de servicios. Este mecanismo ofrece la posibilidad de promover a los proveedores con los que la organización se siente cómoda con respecto a sus T&C, cumplimiento y otros factores.
- Configurar servicios de intermediación Considere si un grupo interno o un tercero podría manejar la sobrecarga adicional que conlleva el uso de los servicios en la nube, como la gestión de contratos y servicios y los mecanismos de facturación entre múltiples proveedores.
- Cloud hosting privado Construya servicios cloud privados donde los servicios cloud públicos no son adecuados o no existen. Éstos podrían ser establecidos por personal interno de TI o por un proveedor externo.
Estos arreglos pueden ayudar a una organización a manejar el riesgo que proviene de que el personal adquiera sus propios servicios – un escenario que parece estar convirtiéndose en una realidad de las empresas modernas, dijo Boyns.
«Hay diferentes personas en la organización con diferentes necesidades de servicios cloud, ya sean tecnólogos que quieren comprar infraestructura como servicio para implementar una solución, o líderes empresariales que buscan algo que esté muy orientado a un proceso de negocio.
«No estoy diciendo que sean los compradores correctos de servicios en la nube, pero es algo que es extremadamente difícil de detener. Por lo tanto, tenemos que averiguar cómo vamos a mitigar el riesgo asociado con eso hasta que tengamos servicios en los que el personal sienta menos necesidad de ir a otro lugar».