Suscríbase al feed

¿Con qué frecuencia vemos una noticia sobre una violación de datos o una caída del sistema causada por un error humano o algún tipo de explotación de brechas de seguridad por parte de una entidad externa? Si trabajas en TI para la empresa afectada, los impactos directos e indirectos pueden ser significativos, y este nivel de impacto se refleja en toda la industria de TI. Consideremos algunos datos: el informe sobre el estado de la seguridad de Splunk de 2023 indica que la sofisticación de los ataques es el principal desafío que enfrentan el 38 % de los encuestados, y el 28 % se encuentra atrapado en un modo de respuesta reactiva debido a las altas demandas de trabajo. El informe de IBM sobre el costo de una violación de seguridad de 2023 encuentra que el costo promedio de una violación de datos es de 4.45 millones de USD, lo que representa un aumento del 15 % en 3 años. Estadísticas como estas indican que la sofisticación y el volumen de ataques, así como las vulnerabilidades reportadas, continúan aumentando. Con esto viene un mayor riesgo de violaciones e impactos financieros. La respuesta aquí no es desacelerar, sino trabajar de manera más inteligente. 

La mayoría de las empresas han pasado la última década modernizando y trasladando aplicaciones y servicios empresariales a la nube híbrida para poder moverse más rápido y ser más ágiles, porque las demandas de hoy son mayores que nunca. Además, casi todos los clientes con los que hablo están lidiando con la complejidad de sus entornos, sin un final a la vista, ya que se añaden más tecnologías como edge, inteligencia artificial y otras.  

¿Qué significa esto para tus cargas de trabajo de inteligencia artificial a nivel empresarial? Ahora estás procesando volúmenes masivos de datos en número incluso mayor de infraestructura híbrida y estás ejecutando, o deseas ejecutar, aplicaciones basadas en inteligencia artificial que requieren mucho de tu infraestructura tecnológica. Este es un escenario muy desafiante si no has automatizado la gestión de la solución, donde los procesos manuales pueden hacer que el progreso en las soluciones e innovaciones de inteligencia artificial se detenga.

Satisface las necesidades de cumplimiento normativo y genera consistencia operativa para las cargas de trabajo vitales 

En este entorno complejo que ahora incluye inteligencia artificial, aún necesitas alinearte con políticas internas y externas para controlar costos, reducir riesgos y mantener la consistencia mientras intentas mantenerte ágil. Se necesita gestión de gobernanza, riesgo y cumplimiento (GRC) interna y externa, pero automatizarla es un enfoque mucho más inteligente que también te ayudará a mantener la agilidad.

A menudo, tus sistemas vitales generan ingresos para tu organización, mejoran la productividad o te ayudan a controlar procesos, y son los más afectados por las directrices -internas y externas - de cumplimiento normativo. Deben permanecer seguros, eficientes y auditables, con pocas violaciones y buenos procesos de remediación. Todo esto requiere tiempo y ciclos de trabajo adicionales para que se aborden todos los mandatos normativos requeridos. Los auditores y evaluadores también necesitan información, y esto quita aún más tiempo al proceso de construcción y ejecución de aplicaciones críticas. El resultado final es frustración para cada rol en tu equipo y falta de velocidad y eficiencia desde el desarrollo hasta la prueba y la producción.  

Cuando se trata de procesos de GRC internos y externos, ¿qué pasaría si pudieras:

  • Reemplazar los engorrosos y lentos procesos de validación manual por controles automatizados y optimizados que ocurren antes de que se tome una acción.
  • Ajustar el cumplimiento normativo a través de procesos automatizados rápidos y eficientes.
  • Ofrecer una experiencia simplificada para todo tu equipo que les ayude a enfocarse en sus responsabilidades clave y mejorar su satisfacción general con el proceso.

Automatizar con Policy as Code es la mejor práctica que puede ayudarte a mantener el cumplimiento normativo mientras gestionas la complejidad, reduces riesgos y pones en marcha aplicaciones exigentes de inteligencia artificial y otras con la velocidad y agilidad que los interesados en el negocio esperan de tus equipos. Con Policy as Code automatizado, estás mejor posicionado para mantener los avances que has logrado en la computación en la nube híbrida mientras mejoras tus lineamientos generales de GRC.

Cuando tienes una capacidad predecible y optimizada para aplicar políticas, ganarás más confianza en tu stack tecnológico porque estás operando de manera más consistente. La falta de conocimiento técnico tendrá un menor impacto en tu operación y podrás ayudar a reducir el error humano, que a menudo es de donde provienen las violaciones y los problemas. Automatizar Policy as Code puede ayudarte a abordar las pérdidas de productividad que enfrenta tu equipo.

Automatiza Policy as Code a lo largo del ciclo de vida

Automatizar Policy as Code ofrece una mejor manera cuando, por diseño, puedes hacer que las validaciones y los controles de cumplimiento estén optimizados. Red Hat Ansible Automation Platform es una plataforma de automatización común que los clientes utilizan para automatizar dentro y a través de procesos de TI por velocidad, eficiencia, agilidad y, por supuesto, ROI. Es una solución altamente flexible que puede automatizar casi cualquier proceso de TI que puedas imaginar, y esto incluye automatizar Policy as Code. Tu equipo puede usar Policy as Code automatizado para:

  • Crear: Comprobar automáticamente la aplicación de políticas durante el ciclo de desarrollo para que sea un proceso optimizado para los desarrolladores y así ellos puedan crear plataformas de desarrollo y de prueba que cumplan con las normativas y poder construir cumplimiento normativo desde el principio en entornos de producción y código. Asegúrate de que tu equipo pueda aplicar todas las políticas normativas aplicables sin reuniones largas o verificaciones manuales.  
     
  • Gestionar: Integrar la aplicación de políticas según sea necesario, por ejemplo, controles de políticas discrecionales u obligatorias que se incluyan antes o después de que se ejecute un trabajo de automatización. Recibir alertas cuando una tecnología en tu stack salga de cumplimiento normativo y/o responder automáticamente a la necesidad. Asegúrate de que las instancias de nube y otras tecnologías cumplan con tus especificaciones de configuración para que puedas controlar costos y garantizar un entorno operativo consistente y confiable. Identifica fácilmente el inventario que puede verse afectado por un cambio en la política normativa y luego aplica el cambio automáticamente.
     
  • Ajustar: Automatizar la generación de informes y las salidas de datos a los sistemas relacionados con auditorías, aliviando la carga general del equipo asociada con la generación de informes.

Puedes automatizar Policy as Code hoy al incluir políticas en tus playbooks de Ansible. Estos pueden ejecutarse manualmente o a través del controlador de automatización. Cuando añades Event-Driven Ansible (parte de Ansible Automation Platform), puedes automatizar la respuesta de principio a fin, por ejemplo, cuando una política se desvíe y tu herramienta de monitoreo marque esta desviación y/o la corrija a tu discreción. 

Preparándose para Policy as Code completamente automatizado

Todo esto suena genial, pero ¿cómo llegas allí a gran escala y en todas tus empresas? Aquí hay algunas maneras en las que puedes prepararte:

  • Expande tu uso de la automatización. ¿Cuántos de tus equipos (red, nube, infraestructura, seguridad, desarrollo de aplicaciones, SRE, etc.) están utilizando una plataforma única de automatización consistente? Cuando has expandido el uso de la automatización en toda la empresa, puedes automatizar dentro y a través de dominios para que las políticas estén alineadas a lo largo de todo el stack tecnológico. La idea es que hayas ampliado la automatización sobre la cual puedes implementar Policy as Code automatizado para cargas de trabajo o aplicaciones vitales. 
  • Modulariza y centraliza la automatización con un modelo “as Code”. ¿Tus políticas pueden escribirse de manera independiente del proveedor para que puedan centralizarse y luego aplicarse a soluciones de proveedores específicos o incluirse en playbooks o rulebooks de Ansible? Identifica un repositorio central para almacenar los archivos de configuración estándar, playbooks y otros activos de automatización que desees utilizar de manera consistente. Este es un modelo de Infraestructura como Código y/o Configuración como Código y te proporciona más organización desde la cual luego se puede agregar la automatización de Policy as Code.
  • Evalúa tus necesidades de cumplimiento automatizado y alinea a tu equipo. Identifica los requisitos críticos de cumplimiento normativo y seguridad que debes cumplir, luego establece un plan que incluya metas y objetivos clave. Reúne a tu equipo y crea un entendimiento compartido de los objetivos, beneficios, roles y responsabilidades. Prepárate para las operaciones, por ejemplo, todas las políticas se implementan y prueban antes de ser utilizadas en un flujo de trabajo de implementación.
  • Considera con anticipación el monitoreo y la aplicación. Una vez que tus aplicaciones y cargas de trabajo críticas estén en vivo, determina cómo vas a monitorear y responder a violaciones de políticas. Una opción es utilizar automatización impulsada por eventos para responder de inmediato y sin intervención manual a un riesgo de seguridad o una configuración cambiada que genere un riesgo. 
  • Nombrar a un líder de la comunidad de práctica de automatización. Red Hat ha recomendado este enfoque durante muchos años para fomentar y expandir el uso de la automatización. Este líder puede abordar la automatización en general y también ayudarte a poner en marcha la automatización para Policy as Code automatizado. El Manual del Arquitecto de Automatización te dará algunas ideas para ayudarte a organizar tu comunidad interna. 

Comienza con Policy as Code: un enfoque de comenzar pequeño, pensar en grande.

No importa en qué punto estés en tu proceso, Policy as Code automatizado puede ayudar con GRC. Dado que el cumplimiento requiere que cubras todo el stack tecnológico que soporta tu aplicación, piensa en expandir la automatización y llegar al punto en que estés automatizando desde una única fuente de verdad. Si no has llegado a este punto, aún puedes automatizar políticas, pero es probable que sean más internas por naturaleza (por ejemplo, una versión específica de Linux debe tener políticas de seguridad específicas aplicadas para poder ejecutarse en tu entorno). 

El enfoque general de Red Hat es comenzar con casos de uso simples y crecer en alcance y sofisticación a partir de ahí. Policy as Code puede implementarse de esta manera. Por ejemplo, tus casos de uso pueden ser:

  • Reunir un informe de inventario sobre sistemas que no están alineados con una política específica.
  • Aplicar una política de ejecución como “un firewall solo puede abrirse en un puerto específico”.
  • Crear una instancia de nube no mayor que un tamaño específico para controlar costos en la nube.
  • Automatizar un cambio en un servidor dado que no se puede realizar a menos que el servidor esté en una ventana de mantenimiento.

Una vez que puedas implementar casos de uso simples en torno a Policy as Code, puedes extenderte a un mayor número y a casos más sofisticados.  

Ahora que has aprendido el punto de vista de Red Hat sobre Policy as Code automatizado, espero que consideres esta área y cómo puedes usarla para aliviar procesos tediosos y que consumen mucho tiempo. Terminaré recordándote que Ansible Automation Platform es altamente flexible. Una vez que sepas lo que te gustaría implementar, esta plataforma sobresale en realizar las acciones que deseas, incluyendo cuando se trata de Policy as Code. Lo mejor está por venir al hacer de Policy as Code una forma más sencilla y más inteligente de trabajar a lo largo de tu ciclo de vida.  


Sobre el autor

Richard is responsible for the Ansible Automation Platform strategy. With more than 16 years of experience in Financial Services IT across a range or operational, design and Architecture roles. As well as being an Ansible customer before joining the Red Hat team, he brings a customer focused viewpoint to compliment the strong engineering capabilities of one of the most popular open source projects.

Read full bio
UI_Icon-Red_Hat-Close-A-Black-RGB

Navegar por canal

automation icon

Automatización

Las últimas novedades en la automatización de la TI para los equipos, la tecnología y los entornos

AI icon

Inteligencia artificial

Descubra las actualizaciones en las plataformas que permiten a los clientes ejecutar cargas de trabajo de inteligecia artificial en cualquier lugar

open hybrid cloud icon

Nube híbrida abierta

Vea como construimos un futuro flexible con la nube híbrida

security icon

Seguridad

Vea las últimas novedades sobre cómo reducimos los riesgos en entornos y tecnologías

edge icon

Edge computing

Conozca las actualizaciones en las plataformas que simplifican las operaciones en el edge

Infrastructure icon

Infraestructura

Vea las últimas novedades sobre la plataforma Linux empresarial líder en el mundo

application development icon

Aplicaciones

Conozca nuestras soluciones para abordar los desafíos más complejos de las aplicaciones

Original series icon

Programas originales

Vea historias divertidas de creadores y líderes en tecnología empresarial