Blog de Amazon Web Services (AWS)

Aumente el valor empresarial desde la nube con una gobernanza efectiva en la nube

Por Balaji Palanisamy e Clarke Rodgers
Highway with GuardrailsA menudo, recomendamos a los clientes de AWS que se embarcan en transformaciones digitales que consideren que la migración a la nube es parte de la transformación digital y que la transformación digital debe estar impulsada por los resultados de negocio. La efectividad de sus programas de gobierno determina el éxito de su migración a la nube y transformación digital. Habrá un final para la parte de migración a la nube de su transformación digital. Pero su transformación digital nunca termina si lo está haciendo bien. Con una gobernanza efectiva, siempre debe esforzarse por hacer que las cosas sean más resilientes, más rápidas, menos costosas, más eficientes y más seguras.

Los clientes de AWS que han liderado programas exitosos de adopción de la nube nos dicen que un gobierno efectivo de la nube es esencial para maximizar los beneficios de sus inversiones en la nube y, al mismo tiempo, reducir los riesgos potenciales. Un gobierno efectivo de la nube nutre las actividades que aumentan los ingresos, expanden los mercados y reducen el riesgo al tiempo que permiten la eficiencia operativa. Algunas empresas no dedicaron tiempo a identificar una estrategia de gobierno de la nube durante las etapas iniciales de la adopción de la nube. Con el tiempo, los líderes de estas empresas se dan cuenta de que no están viendo los beneficios prometidos de la adopción de la nube: velocidad, eficiencia, agilidad e innovación con menos recursos y costos optimizados.

En este blog, cubriremos los desafíos relacionados con la implementación del gobierno de la nube, las recomendaciones para implementar y mantener un programa efectivo de gobierno de la nube, e historias de éxito de clientes.

El gobierno de la nube es un conjunto de reglas, prácticas y supervisión que garantiza que el uso de la nube sea responsable y alineado a sus objetivos de negocio. El gobierno de la nube abarca múltiples disciplinas, incluidas seguridad, finanzas, personas, procesos y operaciones, que se superponen para completar una estrategia de gobierno de la nube. Además de los temas operativos y de seguridad que analizamos en esta publicación, le recomendamos que consulte la Guía de administración financiera de la nube de AWS y la perspectiva de las personas del AWS Cloud Adoption Framework (CAF) para completar su estrategia integral de gobierno de la nube.

Top Challenges for Cloud Governance

“La gobernanza debe equilibrar dos objetivos: debe controlar y, al mismo tiempo, debe permitir”, dice Mark Schwartz, estratega empresarial de Amazon Web Services, autor y exdirector de información de los Servicios de Ciudadanía e Inmigración de EE. UU.

Los ejecutivos experimentados no cuestionan el valor del buen gobierno sobre sus programas en la nube. La mayoría de los clientes de AWS con los que hablamos han realizado al menos intentos parciales para establecer una gobernanza sobre sus esfuerzos en la nube. Sin embargo, las empresas se enfrentan habitualmente a tres desafíos principales:

Lograr el equilibrio adecuado: Es difícil seleccionar la combinación adecuada de controles que mantendrá el ritmo de la innovación mientras protege a la empresa. Los equipos innovadores que priorizan la nube exigen un aprovisionamiento de recursos en la nube mínimamente restringido y descentralizado para acelerar la innovación. Los flujos de trabajo onerosos que requieren múltiples aprobaciones para solicitar, aprovisionar e implementar la infraestructura ralentizan a los mismos equipos que desea empoderar.

Mantener el ritmo en un entorno regulatorio que cambia rápidamente: Las organizaciones que operan más allá de los límites regulatorios se enfrentan a entornos que cambian rápidamente con variaciones regionales y requisitos de informes estrictos. Adaptar de manera rápida y decisiva las reglas de sus mecanismos de cumplimiento en dichos entornos puede ser un desafío.

Satisfacer las demandas de agilidad para soportar las transiciones de negocio: Vemos que las organizaciones a menudo se expanden a nuevos segmentos de mercado a través de fusiones y adquisiciones. Algunas organizaciones mejoran el desempeño en los segmentos de mercado existentes a través de contracciones y reorganizaciones. Estas transiciones comerciales con frecuencia impulsan cambios en la estrategia digital y requieren prácticas ágiles de gobierno de la nube que puedan adaptarse a estos cambios. Absorber e integrar los resultados de los cambios organizacionales en las prácticas de gobierno de la nube puede ser exigente.

Nos reunimos regularmente con clientes de AWS para resolver estos desafíos con medidas intencionales diseñadas para modernizar su gobierno de nube. En la siguiente sección, analizamos tres de los pasos más impactantes que recomendamos que considere para su organización.

Pasos para una gobernanza de la nube efectiva

Itere hacia su estado ideal: identificar el equilibrio adecuado requiere experiencia y aprendizaje. El CEO de Amazon, Andy Jassy, lo dijo mejor: «No hay un algoritmo de compresión para la experiencia». Las empresas con prácticas de gobierno líderes en la industria se permiten aprender con pequeños pasos durante las primeras etapas de su adopción de la nube. Evitan intentar construir un conjunto perfecto de controles de gobierno y flujos de trabajo onerosos antes de comenzar sus viajes. Considere comenzar con las prioridades de gobierno más importantes e iterativamente pruebe y refine sus controles de gobierno en varias fases. Por ejemplo, es posible que desee comenzar limitando su uso de la nube a ciertas geografías y casos de uso.

El gobierno de la nube tiene un amplio impacto en su entorno. Notamos que los profesionales de la gobernanza en los que confían sus organizaciones prueban los cambios antes de implementarlos. Probar los cambios en los controles de gobierno de la nube genera confianza dentro de sus equipos internos. Estos profesionales de gobierno también recomiendan implementar cambios en los controles de gobierno de la nube en fases. Esto le permitirá ajustar los controles para su entorno y minimizar los impactos adversos en la eficiencia operativa. El enfoque iterativo le permite crear una memoria organizativa y la experiencia requerida para modernizar sus programas de gobierno de TI.

A medida que busca mejorar iterativamente su programa de gobierno de la nube, la visibilidad del estado de los recursos y el consumo de la nube es fundamental para la toma de decisiones. Obtener una visibilidad integral puede ser un desafío, ya que los recursos en la nube pueden ser efímeros (aprovisionados/desaprovisionados según demanda) y elásticos (ampliados o reducidos según la demanda). Vemos que los clientes de AWS obtienen más visibilidad de sus entornos en la nube cuando utilizan servicios y productos de gobernanza que son nativos de la nube. Los servicios nativos de la nube se crean utilizando otros servicios en la nube y están diseñados para manejar recursos de nube efímeros y elásticos. Esta visibilidad mejorada permite a estos clientes de AWS seleccionar con confianza controles que reducen los flujos de trabajo onerosos para sus innovadores.

Los clientes de AWS encuentran que AWS Audit Manager (un servicio administrado que automatiza la recopilación de evidencia, monitorea su postura de cumplimiento y agiliza la colaboración de auditorías entre sus equipos) es beneficioso para rastrear el progreso hacia y mantener su estado objetivo.

Acelere los programas de gobierno con la política como código (PaaC): Desbloquee el potencial de su organización liberando a los empleados de los controles manuales y permitiéndoles concentrarse en los objetivos de negocio. A menudo usamos la frase: «La única forma de gobernar la nube es desde la nube». Los programas efectivos de gobierno de la nube utilizan métodos de administración de la nube basados en código para hacer cumplir la política organizacional como código cuando es necesario personalizar los controles de gobierno para sus respectivos entornos. Las empresas con programas sólidos de gobierno de la nube confían en los controles administrados proporcionados por un servicio central nativo de la nube y refuerzan los controles administrados con controles personalizados como código. Con este enfoque, puede implementar rápidamente controles preventivos, proactivos, de detección y receptivos, lo que ayuda a escalar sus controles de gobierno en un entorno normativo que cambia rápidamente con un costo mínimo. Con la política como código (PaaC), tiene la flexibilidad de crear versiones adicionales de controles con algunas variaciones y mantener un estándar general. Esta flexibilidad le permite manejar equipos distribuidos en unidades comerciales y geografías y minimizar la posible desviación de los estándares operativos y las líneas base de seguridad.

La mayoría de los clientes de AWS confían principalmente en AWS Organizations y AWS Control Tower como su servicio central para administrar y gobernar sus entornos de AWS, aprovechando las capacidades de gobierno de otros servicios de AWS cuando corresponda. AWS Organizations proporciona capacidades de gobernanza subyacentes, como el acceso centralizado a los servicios de AWS, los controles preventivos, la aplicación de políticas, el uso compartido de recursos y la consolidación de la facturación. AWS Control Tower, basado en AWS Organizations, orquesta otros servicios de AWS y proporciona controles administrados para las empresas que desean aprovechar las prácticas recomendadas por AWS para la seguridad y la orquestación de sus entornos de AWS.

Behavox, un proveedor de servicios de fintech, ayuda a las empresas a proteger a sus organizaciones y empleados al monitorear los datos de comunicaciones de la empresa. Al necesitar una forma de centralizar sus operaciones en la nube a medida que crecía su negocio, la empresa implementó una solución de gobierno que mejoró su postura de seguridad y entregó una velocidad rápida al mercado, creando una base para agregar nuevas políticas y controles de gobierno a medida que crece.

Adapte y construya con recursos disponibles: Los servicios en la nube, así como las aplicaciones de negocio que aprovechan los servicios en la nube, evolucionan más rápido que las aplicaciones locales tradicionales. Sus requerimientos de gobierno de la nube también pueden variar en función de su entorno empresarial, como las fusiones y adquisiciones en curso. Muchos clientes se sienten atraídos por la idea de una solución universal de gobernanza entre nubes. Pero en la práctica, los clientes de AWS que han creado controles personalizados en los servicios nativos de la nube tienden a tener un gobierno de la nube más efectivo. Esto parece obvio cuando consideramos que las herramientas de gobierno de la nube unificadas deben admitir cientos de servicios en la nube que están evolucionando a un ritmo acelerado.

La famosa cita de Theodore Roosevelt, «Haz lo que puedas, con lo que tienes, donde estés», parece encajar en esta situación. Las empresas que han establecido un gobierno de la nube efectivo identifican un servicio central que brinda la mayor cobertura para sus necesidades de gobierno de la nube. Luego crean capacidades adicionales importantes para su organización utilizando una combinación de servicios nativos de la nube y productos de socios.

Warner Bros. Discovery (WBD) minimizó la posible desviación de los estándares operativos y las líneas de base de seguridad al pasar por fusiones y adquisiciones. Su caso de estudio describe la reducción del tiempo para crear nuevos entornos (cuentas de AWS) de dos meses a dos días con una implementación centralizada basada en servicios nativos de la nube. WBD ofrece medios de televisión, transmisión y juegos a escala global. Con varias fusiones y adquisiciones a partir de 2018, querían un proceso automatizado y centralizado para crear nuevas cuentas y aplicar políticas de seguridad. WBD diseñó un proceso de creación de cuentas centralizado para manejar miles de cuentas nuevas. Como resultado de sus capacidades mejoradas de gobierno de la nube, la empresa mejoró los tiempos de implementación, redujo el time-to-market y redujo los costos.

Cualquiera que sea su geografía o industria, un gobierno de la nube efectivo es esencial para garantizar que su organización aproveche las oportunidades que presenta la nube para lograr los resultados de negocio deseados. Los clientes de AWS con los que hablamos indican que los programas exitosos de adopción de la nube se basan en reducir la fricción para la innovación a través de modelos de aprovisionamiento de la nube seguros, eficientes y flexibles. Muchos clientes eligen una combinación de soluciones nativas de la nube que ofrecen controles administrados y admiten personalizaciones basadas en código. Este enfoque les permite mejorar de manera iterativa la seguridad, la flexibilidad y la eficiencia de sus programas de gobierno de la nube para que puedan navegar por el panorama regulatorio y comercial dinámico. – Balaji y Clarke

 

Links

GRC Sessions at re:Inforce 2023

Governance in the Cloud and in the Digital Age: Part One

Governance in the Cloud and in the Digital Age: Part Two

Organizing Your AWS Environment Using Multiple Accounts

AWS Control Tower Controls Reference Guide

Este artículo se tradujo del Blog de AWS em Inglés.

 


Acerca de los autores

Balaji Palanisamy se unió al equipo de AWS hace 8 años para ayudar a los primeros usuarios de la nube en todo el mundo con los desafíos de seguridad y gobernanza. Desde entonces, ha guiado a muchas grandes empresas a obtener un comienzo seguro en la nube con soluciones prácticas de gobierno, seguridad y gestión de riesgos. Le apasiona aprender y elevar el nivel de cómo las empresas se benefician de la nube al empoderar a los usuarios, socios y clientes.

 

 

 

 

Clarke Rodgers es Enterprise Security Strategist en Amazon Web Services. En este rol, Clarke trabaja con ejecutivos enfocados en la seguridad empresarial, el riesgo y el cumplimiento en cómo AWS puede fortalecer su postura de seguridad y ayudar a comprender las capacidades/posibilidades de seguridad de la nube. Antes de AWS, Clarke fue CISO de las operaciones de Norteamérica de una compañía multinacional de seguros y reaseguros, donde tomó una división estratégica con AWS por razones de seguridad, para incluir la obtención de la certificación SOC2/Type2. La carrera de más de 20 años de Clarke en operaciones de TI y funciones centradas en la seguridad lo ayudan a alinearse con las necesidades de los clientes empresariales de hoy durante sus viajes de transformación a la nube. Clarke asistió a la Universidad de Carolina del Norte y se desempeñó como infante de marina de los Estados Unidos.

 

 

 

 

Traductores

Georgette Martínez es FSI Customer Solutions Manager en AWS de clientes globales de la industria de servicios financieros en México. Tiene más de 8 años de experiencia en el sector Tecnológico liderando programas de adopción de la nube. Adicionalmente, experiencia en el sector de Telecomunicaciones e investigación.

 

 

 

 

Nelson Rojas es Senior Customer Solutions Manager en AWS para clientes de la industria Telco en LATAM. Tiene más de 20 años de experiencia en el sector de Telecomunicaciones liderando proyectos. Adicionalmente, experiencia en multiples temas entre ellos Transformación Digital, Ciberseguridad, y FinOps.

 

 

 

 

José Giori Herran Escobar es un Solution Architect de AWS para clientes Deep en LATAM. Tiene mas de 15 años de experiencia en Transformación Digital, Arquitectura Empresarial, Gobernabilidad y Gestión de servicios tecnológicos, Gestión ágil de proyectos y Consultoria DevOps/DevSecOps, facilitando desarrollo de capacidades empresariales y  compartiendo su experiencia y conocimiento con clientes de multiples industrias para lograr sus objetivos de negocio.

 

 

 

 

Alex Torres es un Solution Architect especializado en el framework de Cloud Foundations. La pasión de Alex es ayudar a clientes a navegar las decisiones necesarias para establecer la base de un entorno de AWS, trabajando desde los retos que los clientes encuentran en su negocio. Para ello Alex prepara soluciones específicas para cada una de las necesidades de sus clientes. Además de su pasión por la tecnología, le encanta la pizza con piña, hacer senderismo, y pasar tiempo con sus perros.