La colaboración entre Seguridad y FinOps puede generar beneficios ocultos en la nube

Para las empresas que operan en la nube, la seguridad y la gestión de costes son preocupaciones crecientes. Por lo general, estos problemas se abordan de forma aislada, con los equipos de seguridad y los equipos de FinOps siguiendo sus objetivos y prioridades por separado, y sin pensar demasiado en las oportunidades de colaboración entre dos divisiones que podrían aprovecharse para obtener mejores resultados comerciales.

A medida que los CIO buscan obtener un mayor control sobre sus gastos y seguridad en la nube, es hora de que estos equipos trabajen codo con codo. Esto puede ser un desafío, ya que los CISO y los equipos de FinOps a menudo no se encuentran bajo la misma estructura, lo que puede impedir la colaboración en algunas culturas corporativas, especialmente aquellas en las que la seguridad opera de manera aislada.

Además, existen diferencias en herramientas, procesos y prácticas de datos entre las operaciones de estos equipos que será necesario abordar para liberar el potencial que su colaboración puede tener en la estrategia general de nube de la empresa. 

Por ejemplo, desde una perspectiva tecnológica, la gestión de la postura de seguridad en la nube (CSPM) y las plataformas de protección de cargas de trabajo en la nube (CWPP) están repletas de datos que pueden ayudar a los equipos de FinOps, además de lo que ya hacen por los equipos de seguridad. Del mismo modo, las plataformas de gestión de costes en la nube y otras herramientas de FinOps tienen datos que los equipos de seguridad también pueden aprovechar para generar alertas e informes.

He aquí 11 consejos para combinar operaciones de seguridad y FinOps para lograr un enfoque más seguro y rentable en la gestión de la nube.

Establecer informes y análisis compartidos

El primer paso para integrar sus herramientas de seguridad y gestión de costes en la nube es establecer informes y análisis compartidos que unifiquen las métricas de seguridad y costes en un solo panel. Reunir estos datos permite a sus equipos analizar el impacto financiero de sus estrategias de seguridad y realizar un seguimiento de los indicadores clave de rendimiento (KPI) que se alinean con sus objetivos de seguridad y operaciones financieras.

Un ejemplo sería la integración de AWS Cost Explorer con otros servicios de seguridad de AWS para proporcionar información combinada sobre métricas de seguridad y de la nube. Otras opciones para crear paneles incluyen Azure Monitor o herramientas de código abierto como Grafana o Kibana. Esta información combinada podría consistir en lo siguiente:

• Métricas de estado de cumplimiento que miden si su entorno se adhiere adecuadamente a los estándares de la industria
• Tasas de utilización de recursos para capturar recursos sobreutilizados e infrautilizados
• Variación del gasto en la nube (principalmente una métrica de FinOps) para verificar las variaciones de costos en relación con su presupuesto, lo que también puede tener implicaciones de seguridad

Integrar herramientas de monitorización

Al llevar los informes compartidos un paso más allá al integrar FinOps y herramientas de monitoreo de seguridad, no solo puede obtener una visión más completa de sus operaciones en la nube, sino también crear alertas para el beneficio tanto de FinOps como de la seguridad.

Por ejemplo, los patrones de gasto inusuales pueden indicar violaciones de seguridad, como la minería de criptomonedas o ataques de denegación de acceso a la billetera. La monitorización de anomalías de costes y eventos de seguridad permite a su organización correlacionar mejor los picos de costes con posibles incidentes de seguridad, lo que conduce a una solución más rápida.

Automatizar la remediación

La remediación automatizada adquiere una nueva importancia como estrategia de integración para abordar problemas de costes y seguridad. La automatización del apagado o la corrección del tamaño de los recursos subutilizados, la aplicación de parches y actualizaciones de seguridad para reducir las vulnerabilidades y la aplicación de cifrado y otros controles de seguridad sobre los recursos aprovisionados son ahora tareas de doble propósito y ya no son estrictamente del dominio de la seguridad.

Las prácticas de FinOps pueden ayudar a los equipos de ciberseguridad a impulsar o validar la necesidad de reducir las superficies de ataque, minimizando así las posibles vulnerabilidades.

Consultar las herramientas de gestión de CMP y K8s

Otra capa tecnológica clave que se encuentra entre la seguridad y FinOps son las plataformas de gestión de la nube (CMP). Kyle Campos, director de Tecnología de la startup de CMP Cloudbolt, destaca la importancia de los planes de implementación desde el primer día y la detección de desviaciones, y afirma que las CMP proporcionan a los equipos de seguridad y de la nube información útil, especialmente datos de configuración.

Cast AI, una plataforma de automatización de Kubernetes con funciones de gestión de costes de Kubernetes y la nube, está abordando el debate sobre la integración de seguridad y FinOps con el lanzamiento de una nueva solución de gestión de la postura de seguridad de Kubernetes (KSPM) que se basa en su plataforma actual. Laurent Gil, cofundador y director de Productos de Cast AI, afirma que una solución de este tipo ayuda a los equipos a gestionar los costEs y la seguridad desde la “misma caja”.

Gil también es un firme defensor de la eficiencia a través de la automatización, lo que tiene sentido ya que los equipos de seguridad a menudo superan en número a los miembros del equipo de FinOps en las reuniones y las llamadas de Zoom. La automatización de las herramientas de gestión de K8 y de los CMP permite la rotación regular de nodos y otras tareas operativas y puede reducir significativamente las vulnerabilidades sin tiempo de inactividad, lo que libera a ambos equipos para realizar un trabajo más estratégico.

Estandarizar el etiquetado para unificar los informes

Tal y como se ha dicho, los equipos de FinOps suelen ser pequeños; por lo tanto, es fundamental mejorar la forma en que los equipos acceden a los datos de forma asincrónica y se comunican con un léxico común. Un área en la que vale la pena centrarse es la taxonomía de etiquetado, dice Campos de Cloudbolt.

Para colaborar verdaderamente, los equipos de seguridad y FinOps deben ponerse de acuerdo en la estandarización de la taxonomía hasta la carga de trabajo en la nube, afirma. Esta estandarización permite que ambos equipos vean los mismos informes, alertas y patrones de respuesta.

Según la experiencia de Campos, los silos organizacionales primero se manifiestan en las estructuras de datos, luego se filtran en los comportamientos y la falta de comunicación, lo que a menudo da como resultado que el trabajo se superponga sin que se sepa. Además, las herramientas de seguridad a menudo permiten detectar problemas antes que las herramientas de FinOps, que suelen retrasar más la visibilidad de los datos, afirma Campos. Más razones para que los equipos de seguridad y FinOps estén en la misma página, con el mismo léxico, para garantizar que puedan aprovechar el trabajo y las herramientas de cada uno en beneficio de la empresa en su conjunto.

Desarrollar un lenguaje común para la colaboración

Al profundizar en el tema de un léxico común, los CMP le brindan a su organización una base para crear un lenguaje común entre sus equipos de seguridad y FinOps porque brindan información tanto sobre seguridad como sobre costes.

Otros pasos para crear un lenguaje común incluyen:

• Desarrollar y publicar internamente un vocabulario compartido que defina y documente términos y conceptos clave relevantes tanto para la seguridad en la nube como para FinOps.
• Identificar objetivos comunes que beneficien tanto la seguridad como la optimización de costes y desarrollar KPI que se apliquen a ambas consideraciones

Capacitar a los equipos de forma cruzada

Realizar capacitaciones cruzadas, ya sean sesiones informales de intercambio de conocimientos entre sus equipos de seguridad y FinOps o incluso apoyo corporativo completo para los equipos que buscan certificaciones de la industria, es otra forma de mejorar la colaboración y el desempeño del equipo.

Por supuesto, para convencer a un miembro del equipo de seguridad de que asista a la capacitación de practicante certificado de FinOps, es necesario que el participante esté dispuesto a participar. Sin embargo, las prioridades y los incentivos pueden ayudar a motivar la capacitación, al igual que las consideraciones comerciales, como el trabajo facturable y los niveles de personal, también afectan las estrategias de capacitación.

Establecer un centro de excelencia en la nube multifuncional

Rani Osnat, vicepresidente sénior de Estrategia de Aqua, señala que muchas empresas establecen “un centro de excelencia en la nube o algún tipo de equipo multifuncional en la nube donde se reúnen o al menos se reúnen ocasionalmente los responsables de seguridad en la nube, operaciones financieras, administradores de la nube y gerentes de infraestructura o de DevOps”. Enfatiza la importancia de generar conciencia general sobre las implementaciones en la nube debido a las implicaciones financieras y de seguridad que esto implica.

Su centro de excelencia en la nube puede colaborar en el diseño y desarrollo de informes que integren aspectos financieros y de seguridad en la nube para fomentar un entendimiento común. A continuación, se muestran algunos ejemplos:

• Diseño de informes que muestren el impacto financiero de las medidas de seguridad.
• Creación de paneles que muestren la situación de seguridad junto con métricas de costos
• Revisar periódicamente estos informes en reuniones conjuntas para discutir las implicaciones y las acciones a tomar.

Colaborar a través de DevOps (o no)

Si bien Campos resta importancia al papel de DevOps para la seguridad y la colaboración del equipo de FinOps, Gil de Cast AI está a favor de DevSecOps para la colaboración del equipo de FinOps y seguridad para equilibrar los costes y la seguridad.

Campos también recomienda que los equipos de FinOps apunten a un alto nivel de apalancamiento, con una pequeña cantidad de personal que tenga un impacto significativo en toda la organización. Su consejo implica experimentar con la automatización y otras herramientas y estrategias para ampliar el alcance de los datos de FinOps, como la mejora de los informes. Los equipos de DevOps están muy familiarizados con la automatización y probablemente puedan ser de ayuda en este caso, ya sea en la etapa de ideación o implementación.

Tratar la seguridad como una línea de negocio

Rob Martin, director de FinOps en FinOps Foundation, recomienda tratar la seguridad como una línea de negocio para su organización. “Los equipos de seguridad o las organizaciones de CISO en general no son tratados como un producto que la empresa tiene que fabricar. Es un producto en el que estamos invirtiendo dinero. Esperamos resultados, pero no esperamos resultados financieros”.

“Un área importante en la que la Fundación FinOps ha estado invirtiendo durante los últimos años es la Especificación de Uso y Coste Abierto de FinOps (FOCUS)”, agrega Martin. “Este proyecto de código abierto es un gran logro para la comunidad de profesionales, y las cuatro principales plataformas de nube ya están produciendo datos en formato FOCUS, lo que permite a las empresas normalizar más fácilmente sus datos de uso y costos para respaldar las prácticas de FinOps”. La ciberseguridad es ahora un tema allegado en la última versión de FOCUS.

“Si lo analizamos en el contexto de la seguridad, es probable que este sea otro aspecto en el que una visión coherente de los recursos de la nube y de los datos de uso beneficiará a los equipos de seguridad”, afirma Martin. Por ejemplo, los equipos pueden consultar un lago de datos conjunto y ver una mayor coherencia en esos datos a lo largo del tiempo, incluso de productos SaaS u otras fuentes de datos, porque FOCUS no es específico de las nubes, sino que se puede aplicar a cualquier persona que tenga datos de facturación para compartir.

Facilitar el cambio cultural con un enfoque de arriba hacia abajo

La colaboración entre los equipos de FinOps y de seguridad puede ser un desafío, empezando por el hecho de que las prácticas de FinOps, al ser más nuevas, deben ponerse al día con las prácticas de ciberseguridad en la mayoría de las organizaciones. Además, la intersección de los costes y la tecnología de la nube puede resultar intimidante incluso para el ingeniero de ciberseguridad o el arquitecto de soluciones en la nube más experimentado, lo que hace que la colaboración entre equipos sea difícil de vender y requiera el patrocinio ejecutivo para hacerse realidad.

El lanzamiento de una iniciativa interdisciplinaria para acercar el trabajo en equipo suele requerir el patrocinio del CIO y del CISO. A partir de ahí, los equipos deben establecer prioridades para desarrollar los informes, el etiquetado y la automatización que permitan a ambos equipos acceder a los datos recientemente unificados. No tema repetir, ya que este trabajo puede generar nuevos datos e información que sus equipos aún no han podido integrar en sus flujos de trabajo.

“Para lograr un verdadero equilibrio entre los costes y la seguridad de la nube es necesario reconocer que lo que se ve desde una perspectiva de costes puede tener razones de seguridad detrás y viceversa”, afirma Osnat de Aqua, y agrega que el equipo de seguridad puede tener un impacto negativo o positivo en los costes. Y si el equipo de seguridad puede hacer algo que tenga un impacto positivo en los costes de la nube, debería anunciarlo, afirma.