Más allá de la recuperación: Romper la parálisis del legado

Cuarta parte de una serie de cinco

Una de las mayores fuentes de costes, capacidad paralizada y agilidad reducida en TI hoy en día son sin duda los sistemas de TI "heredados". No importa si se trata de entornos locales de 30 años en banca, telecomunicaciones o educación superior, o de nuevas empresas basadas en la nube de 5 años. Casi todo el mundo tiene alguno, y la naturaleza de la bestia es que estos sistemas son a menudo algunos de los más críticos para el negocio.

Así pues, en las tres primeras entregas de esta serie de cinco partes hemos hablado de cómo podemos mejorar nuestros resultados de seguridad a lo largo del tiempo abordando los problemas que hacen que la empresa (que incluye a TI) introduzca riesgos en la organización.

Este planteamiento significa que todo lo nuevo será mejor que lo anterior desde el punto de vista de la calidad y la seguridad. Esto incluye los nuevos sistemas, pero también los nuevos procesos que mejoran la seguridad de los sistemas existentes. Piense, por ejemplo, en un mejor proceso de aplicación de parches o en una mejor gestión de identidades.

Pero, ¿qué pasa con esos sistemas heredados que tiene ahora y que están tan arraigados que no pueden sustituirse fácilmente? ¿Y para los que las mejoras generales de los procesos no supondrán una gran diferencia debido a su naturaleza particular o peculiar? Sistemas en los que, por diversos factores, el riesgo empresarial de repararlos se percibe como demasiado grande.

Romper nuestra dependencia de los sistemas heredados

Para que quede claro, definiré vagamente los entornos "heredados" como aquellos en los que la funcionalidad [de seguridad] puede no ajustarse perfectamente a los requisitos de la empresa por falta de planificación o previsión. O cuando los elementos no se construyeron teniendo en cuenta el soporte a largo plazo, o están tan mal documentados y son tan complejos, que hacer cambios en ellos es simplemente demasiado arriesgado debido a la probabilidad de efectos no deseados.

Dado que estos entornos a menudo soportan gran parte de las funciones empresariales básicas, los costes adicionales de mantener vivos estos entornos problemáticos se perciben como justificados. Sustituirlos por soluciones más fáciles de mantener es simplemente demasiado caro, debido en gran parte a la necesidad de realizar ingeniería inversa, comprender y mitigar los riesgos en una eventual transición.

Su criticidad también significa que su seguridad es extremadamente importante. Pero, por la misma razón, son difíciles de actualizar, parchear y proteger. Las soluciones modernas no se integran bien -puede ser como mezclar aceite y agua- y realizar cambios en el código o el sistema para habilitar funciones de seguridad o visibilidad suele ser demasiado arriesgado.

Los esfuerzos por cambiar los entornos heredados suelen toparse con una feroz resistencia. A las empresas les preocupa no sólo el coste de esos cambios, sino también su posible impacto.

Dejar atrás el miedo

Es esta resistencia, esta reticencia, lo que hace que la deuda técnica se convierta en una bola de nieve y se atrinchere. Y una vez que eso ocurre, es muy difícil seguir adelante con esos entornos. En lugar de eso, construimos sistemas y procesos costosos y a menudo manuales a su alrededor, tanto para protegerlos como para añadir funcionalidades que podría y debería proporcionar el sistema central y que nos da demasiado miedo tocar.

Pero, ¿y si pudiéramos librarnos de todo este miedo?

Aunque la mayoría de las organizaciones utilizan su solución para almacenar una copia de sus datos y sistemas en caso de desastre, lo cierto es que están sentados sobre una copia de su entorno. Y esa copia vive en sistemas de almacenamiento que cuentan con una increíble tecnología de E/S y optimización; sistemas capaces de ejecutar esos datos y crear un gemelo digital de su entorno.

Mejor aún, la tecnología de optimización en juego introduce la posibilidad de Thin Digital Twins, que son copias funcionalmente idénticas de sus sistemas utilizando sólo una fracción del almacenamiento. Esto significa que se necesita muy poca capacidad para ejecutar entornos gemelos muy grandes para pruebas y simulación.

Mi primera introducción a Thin Digital Twins fue en el contexto de las pruebas de penetración. La ventaja es que la mayoría de las organizaciones no realizan pruebas de penetración a fondo, y rara vez prueban a fondo sus sistemas de producción más sensibles por el riesgo de interrupción, si es que los prueban en absoluto.

Pero, ¿y si en lugar de eso se dispusiera de una réplica funcionalmente idéntica de todo el entorno que pudiera utilizarse, sin riesgo ni impacto? Podría probarse por completo y con lo que de otro modo podría considerarse una ferocidad peligrosa.

Obtendrías resultados mucho más completos, con mucha menos sobrecarga de planificación, porque alterar un gemelo no importa. No se altera el entorno almacenado. Y con un riesgo prácticamente nulo, lo que es mucho mejor que incluso el enfoque de guante blanco más cuidadosamente planificado (y caro).

Además, los entornos de pruebas o de puesta en escena se utilizan a menudo para las pruebas de penetración, y estos entornos no son en realidad verdaderas réplicas funcionales de sus entornos de producción. Un gemelo real de producción siempre será más preciso y menos probable que lleve a pasar por alto un problema crítico.

Romper el ciclo de la parálisis

Pero, ¿y si aplicáramos los principios anteriores para romper el ciclo de parálisis que crean y afianzan los entornos heredados?

Eliminar el miedo y el riesgo de realizar cambios en estos entornos puede llevarnos a diseccionar, probar y simular rápidamente cambios en los sistemas heredados. Esto nos permite reducir drásticamente el coste y el tiempo necesarios para sacar esos sistemas de un estado heredado.

Desde el punto de vista del cálculo de costes, cambia las prioridades porque lo que antes era demasiado caro ahora puede convertirse en una opción más barata que el statu quo. Esto significa que ahora hay motivación financiera (y apoyo empresarial) para solucionar los problemas heredados que antes teníamos.

Al poder simular un cambio de proceso, un cambio de configuración o incluso la sustitución de todo un sistema aprovechando la réplica de nuestro entorno que se encuentra en nuestra infraestructura de copia de seguridad/recuperación, el tiempo y el esfuerzo necesarios para arreglar o sustituir el sistema por algo mejor resultan más baratos que mantener el antiguo en funcionamiento.

Por supuesto, estos principios son más pronunciados con los sistemas heredados, pero pueden utilizarse para cualquier otro sistema o cambio, por no hablar de las pruebas agresivas. Todo ello le ayudará a desbloquear, acelerar y reducir drásticamente los costes de su transformación de la seguridad.

Estas ventajas tampoco se limitan a mejorar la seguridad. También se pueden añadir más fácilmente funcionalidades empresariales, lo que beneficia aún más a la empresa y al balance final.

Para recapitular, en entregas anteriores de esta serie, presentamos el hecho de que la seguridad sostenible y en mejora continua es un subproducto de la calidad que debe aplicarse como parte de un enfoque holístico y estratégico. Y cómo las capacidades de almacenamiento y recuperación pueden actuar como un facilitador y acelerador, del mismo.

La capacidad de probar rápidamente y crear prototipos de un gemelo digital perfecto de su entorno es otra forma de acelerar aún más este progreso. Y la facilidad con la que puede hacerse puede tener repercusiones significativas en los costes y, por tanto, en la priorización financiera de las actividades.

Esto hace que sea más probable que el mejor enfoque para el balance final, incluso a corto plazo, sea arreglar las cosas correctamente ahora. Y, como comentamos en nuestra última entrega, este tipo de justificación financiera seguramente conseguirá el apoyo de la empresa a la transformación de la seguridad.

¿Qué haría usted con un gemelo digital?

Les dejo con unas sencillas preguntas:

Si pudiera generar gemelos digitales de cualquier sistema, o incluso de todo un entorno, y probar o simular cualquier cosa con temeridad, ¿qué sería?

¿Qué le aportaría mayor seguridad o mejora de costes?

¿Qué tipo de cambio podría impulsar entonces?

Buena reflexión...

Acompáñenos la próxima vez en el último capítulo de nuestra serie, con una mirada más profunda a la próxima ley DORA que también va más allá de la recuperación.

Lea los artículos anteriores de esta serie

• Más allá de la recuperación: Más allá de la tecnología, parte 1 de 5
• Más allá de la recuperación: explorando el problema, parte 2a de 5
• Más allá de la recuperación: Explorando el problema, parte 2b de 5
• Más allá de la recuperación: El dinero habla, parte 3 de 5