Una plataforma (Salesforce CDP es mucho más que un producto) que llega para cambiar la forma de operar el marketing digital, tenía que dar otro enfoque a la necesidad de responder con inmediatez a la audiencia, algo que fuera más allá de la funcionalidad, que fuera a la arquitectura misma. Y eso es Genie, el ‘gear’, el componente clave de tiempo real para Salesforce CDP (e inclusive más que solo CDP). 

Salesforce Genie aporta el poder de los datos en tiempo real a todo CDP al facilitar que las empresas comprendan todos sus datos desde cualquier sistema, canal o flujo de datos. Además, permite integrar datos de cada paso en la experiencia del cliente en un perfil de cliente unificado, y ese perfil de cliente en tiempo real se puede usar para crear instantáneamente un nivel de personalización sin precedentes.  

Genie va un paso más allá al canalizar una cantidad ingente de datos dinámicos a CDP en tiempo real. Esto significa que los datos de los clientes se alimentarán en tiempo real con nuevos datos desde cualquiera de sus puntos de contacto. Salesforce Genie aporta la potencia de la automatización (con Flow), el análisis, la Inteligencia Artificial (con Einstein), los datos y la integración a CDP para crear una visión única del cliente en cualquier nube. 

Con la integración de Genie en CDP, se ha insertado innovación en todo el proceso que se realiza en Salesforce CDP (‘Data’, ‘Identity’, ‘Audience’ y ‘Activation’).  

Empezando por el primero, ‘Data’, Salesforce Genie complementa la base de datos transaccional existente con la capacidad de recibir volúmenes masivos de datos en tiempo real. Genie se crea con metadatos de Salesforce lo que significa que los datos almacenados en Genie están visibles y disponibles para utilizarlos en CDP. 

En el segundo proceso de CDP, ‘Identity’, y gracias al modelo de datos Customer Graph de Genie, conseguimos la armonización de todos los flujos de datos en un solo perfil del cliente. La clave de este proceso es la forma en que Salesforce Genie y CDP resuelven las identidades, consiguiendo que el historial completo de interacciones de un cliente con una marca, tanto conocidas como anónimas, se consolide en un solo perfil. 

En cuanto a los dos últimos procesos ‘Audience’ y ‘Activation’, Salesforce Genie puede acceder más rápidamente a todos los datos para ponerlos a trabajar, permitiendo que los ‘marketeers’ puedan crear fácilmente segmentos más inteligentes, hasta 30 veces más rápido, para atraer a los clientes con el mensaje correcto y en el momento correcto en todos los canales, utilizando datos e información en tiempo real, gracias a las conexiones bidireccionales con diferentes plataformas.  

Además de CDP, Salesforce Genie incorpora innovaciones a todas las plataformas: la capacidad de organizar los datos en espacios seguros y lógicos gracias a las Data Spaces, que permitirán a los distintos equipos o marcas de una organización utilizar la misma instancia de Genie, pero acceder únicamente a los datos que necesitan para realizar su trabajo; la gestión del consentimiento del cliente con el Preference Manager, que permite formar una visión unificada de las preferencias del cliente como parte del perfil unificado; y el intercambio de datos seguro, en tiempo real y abierto, al poder acceder directamente a los datos almacenados en Snowflake, y viceversa, permitiendo una visión 360 del cliente en tiempo real a través de las dos plataformas sin mover o duplicar los datos. 

En conclusión, gracias a la introducción de Salesforce Genie, CDP se convierte en una plataforma automatizada, inteligente y en tiempo real, lo que ayuda a todas las empresas a ahorrar costes y tiempo y aumentar los ingresos. 

Autora:

Andrea Sanz Risoto 

Salesforce Marketing Cloud Consultant 

Un Customer Data Platform ya es en sí mismo un cambio de paradigma, solo que Salesforce CDP lleva ese cambio aún más lejos con su enfoque hacia la disponibilización de datos para marketing:no se trata de ‘tener el dato en propiedad’ (ingesta y modelado), se trata de ‘tener el dato disponible’ en el momento en el que lo necesite para trabajar con él y dar respuesta a demandas de marketing. En este sentido, Salesforce CDP contempla distintas formas de construir la fuente de la verdad de los datos de los clientes, haciendo disponibles datos de múltiples formas, mediante conectores nativos con otrasplataformas de Salesforce (CRM, Marketing Cloud, B2C Commerce, Interaction Studio, Loyalty Management), data lakes (Google Cloud Storage y Amazon S3), la propia aplicación móvil o página web de la marca y sistemas de ingesta de datos mediante llamadas API.

Empezando por la conexión entre CDP y CRM, el conector de Salesforce CRM permite acceder a los datos de Salesforce CRM, incluidos, los de Sales, Service, B2B Commerce y Loyalty Management. 

El conector de B2C Commerce con CDP permite acceder al perfil del cliente y a los datos transaccionales (compras y productos) que están almacenados en B2C Commerce Cloud. Estos datos permiten mejorar los conocimientos y los casos de uso analíticos, y cuando se combinan con otros puntos de datos, mejoran las oportunidades de personalización. 

Hasta ahora, solo hemos mencionado plataformas que almacenan datos transaccionales y de perfil del cliente, pero CDP va mucho más allá, permitiendo ingestar y hacer disponibles datos de seguimiento de las interacciones que realizan los clientes con la marca.  

El conector de Marketing Cloud permite acceder a los datos de seguimiento generados a través de las actividades de marketing, a los datos generados por la Inteligencia Artificial que proporcionan información y puntuaciones sobre las respuestas de los clientes, y a los datos que residen en las diferentes tablas dentro de la cuenta.  

El conector de Interaction Studio (ahora llamado Marketing Cloud Personalization) permite acceder a los datos de perfil y comportamiento en la página web. Estos datos permiten optimizar las campañas de personalización y las estrategias de segmentación de seguimiento. Cuando se combinan con otros puntos de datos, ofrecen mayores oportunidades para descubrir patrones y conocimientos de los clientes en todos los canales.  

La conexión de Salesforce CDP con data lakes como Google Cloud Storage o Amazon S3 permite realizar periódicamente transferencias de datos automatizadas a CDP. 

Además, se pueden crear flujos de datos bidireccionales con las aplicaciones móviles y sitios web que disponga la marca, permitiendo consultar y disponer de nuevos datos sobre las interacciones de los clientes cada 15 minutos en la plataforma de CDP, para poder activarlas posteriormente en otras plataformas.  

Además de las conexiones nativas con todas estas plataformas mencionadas, Salesforce CDP permite introducir datos de un sistema externo a través de las llamadas Ingestion API, consiguiendo enriquecer los registros existentes de CDP mediante la automatización de la ingesta de datos de terceros. Pero, no sólo existe esta opción, sino que además se puede utilizar la potencia de Mulesoft y su sistema de conectores de datos para introducir datos en CDP, ayudándole a integrar CDP con sistemas externos cinco veces más rápido utilizando los conectores preconstruidos que ofrece Mulesoft.  

En resumen, las diferentes conexiones que ofrece CDP, permiten a los ‘marketeers’ disponer de todos los datos que tienen su origen en diversas plataformas en un mismo sitio para poder obtener la ‘única fuente de la verdad’ que permita realizar una unificación de perfiles anónimos y conocidos, una segmentación más avanzada y una adecuada activación en los diferentes puntos de contacto de la marca. 

 Autora:

Andrea Sanz Risoto 

Salesforce Marketing Cloud Consultant 

Un CDP Customer Data Platform cambia la forma de hacer marketing digital, pero no tanto porque cambie el proceso o porque el flujo vaya a ser radicalmente diferente. Cambia porque pone en manos de los equipos de marketing los datos desde el inicio, cambia porque la construcción de la identidad del cliente es concreta,cambia porque la forma de enriquecer perfiles y construir segmentos es más amigable, cambia porque la activación de los datos en canales y campañas se centraliza para reducir fugas e inconsistencias

Salesforce CDP, el Customer Data Platform de Salesforce está diseñado para seguir el proceso de marketing de principio a fin y está construido bajo cuatro pilares o grupos de actividades, de forma que los equipos de ‘MarTech’ trabajen en un único entorno para dinamizar las acciones y campañas de marketing.  

Estos cuatro pilares son: ‘Data’, ‘Identity’, ‘Audience’, ‘Activation’ y detrás de cada uno hay un conjunto de funcionalidades para que el trabajo del equipo de MarTech sea fluido. 

El pilar ‘Data’ se refleja en el conjunto de funcionalidades que permite disponibilizar datos para el equipo de marketing. Salesforce CDP permite ingestar datos de múltiples fuentes de datos de diversas forma, como conectores nativos con otros productos Salesforce (Commerce, Sales, etc.) y con plataformas de apificación ‘point to point’ (Mulesfot), conectores como plataformas de almacenamiento (Amazon WS, Google, Azure), e inclusive funcioanlidad de accesos a datos en tiempo real (Snowflake) para ingestar resultados y no datos brutos. Este apartado está especialmente activo en Salesforce CDP, sobre todo con la irrupción de Salesforce Genie que dotará a los datos de tiempo real en todos sus procesos. 

El pilar ‘Identity’ se ve representado en una serie de funcionalidades de tratamiento de datos que desembocan en la construcción de una identidad unificada del cliente. Salesforce CDP permite generar flujos de datos llamados ‘data streams’ que representan los accesos a la fuentes de datos que marketing necesita. También dispone dentro de su estructura un modelo de datos CIM (Common Information Model) como referencia para mapear datos campo a campo y construir el mejor modelo que cada equipo de marketing necesita. Y, por supuesto, con los datos mapeados y modelados (tanto en modelos estándar como en modelos personalizados) Salesforce CDP dispone de un conjunto de métodos de reconciliación para construir la identidad única del cliente. 

El pilar ‘Audience’ tiene una gran relevancia, puesto que dota a los equipos de marketing de nuevas herramientas para crear nuevas variables o para crear métricas por distintas vías. Salesforce CDP permite, por ejemplo, crear las llamadas ‘Calculated Insigths’ utilizando editores incorporados con filtros, fórmulas y operadores lógicos. También se pueden seguir creando utilizando lenguaje SQL, pero ahora se dispone de más funcionalidades dentro de Salesforce CDP (comparado con otras herramientas) de manera que conceptos de negocio que dominan los equipos de marketing pueden ser reflejado métricas de forma más autónoma. 

El cuarto pilar ‘Activation’ es clave en marketing digital, ya que es imprescindible que las acciones y los impactos a los clientes en múltiples canales sea consistente y para ello, la activación debe ser una orquestación. Salesforce CDP cuenta con una activación nativa en todos sus nubes de dominio, de forma que después del proceso de trata datos, entender identidades y crear segmentos objetivo, la inclusión en ‘customer journeys’ es inmediata y transparente. Pero además, Salesforce CDP permite la activación (por supuesto también la supresión) en canales de programática para optimizar la inversión en medios, así como permite activar audiencias en canales especiales (POS, Branch CRM, ATMs, etc.) mediante conexiones APIs. 

Estos cuatro pilares de Salesforce CDP ‘Data’, ‘Identity’, ‘Audience’, ‘Activation’ son mucho más que una aspiración, en Salesforce CDP son una realidad concreta para empezar a hacer marketing digital de otra manera. 

Las empresas suelen enfrentarse a varios retos a la hora de generar esta transparencia:

• Los costes TI tienen cada vez más peso sobre los gastos de una empresa. En consecuencia, las áreas de Finanzas y de Negocio piden una mayor visibilidad y entendimiento de las inversiones de TI, que refleje el valor generado.
• Los modelos de consumo de servicios TI están evolucionando de una lógica de CAPEX a OPEX, permitiendo mayor agilidad pero también necesitando reforzar el control de los gastos.
• Los planes de transformación tradicionales no suelen conseguir las expectativas de reducción de costes TI. Se suelen enfocar en recortes a corto plazo, cuando se requiere un seguimiento en el tiempo del valor y de las eficiencias generadas.

Ante esta situación, los modelos tradicionales, en muchas ocasiones, se muestran obsoletos a la hora de entender la realidad empresarial y su entorno. El CIO debe facilitar la transición de una gestión de TIs como centro de costes hacia una gestión como un negocio. Para ello, tiene que disponer de modelos y herramientas adaptados a su “negocio”, que faciliten su toma de decisiones.

Generar transparencia es un primer paso para facilitar el entendimiento y la toma de decisiones

1. Entender y analizar los gastos

La clasificación de los costes TI es un primer paso para entender su estructura y mantener conversaciones internas.

Más allá de las variables tradicionales (OPEX/CAPEX, Run/Grow/Transform, etc.), la clasificación por torres de servicios TI (servidores, red, aplicaciones, puesto de trabajo, etc.) permite proporcionar una visión holística de la organización TI. Es un primer paso para empezar una modelización de costes por servicio.

2. Calcular el coste total de los servicios TI

Una modelización de costes por servicio permite cambiar de una visión financiera a una orientación clara a negocio. Aplicando la metodología ABC (Activity Based Cost) y alineando la estructura al catálogo de servicios de TI, podemos ofrecer una visión orientada a servicios, lo que posibilita dar respuesta a preguntas específicas sobre Coste/Valor.

Un case de uso frecuente, es el cálculo del coste total de un servicio de puesto de trabajo, lo que permite dar visibilidad a negocio y controlar su evolución según las proyecciones de la organización.

3. Mejorar la comunicación con negocio

Una de las grandes dificultades a las que se enfrenta el área de TI suele ser la transmisión de valor a negocio. En este sentido se tiene que procurar un marco común de comunicación, en el que se den las conversaciones necesarias sobre el valor, el coste y la calidad de los servicios que se ofrecen.

Mediante el diseño y ejecución de un proceso de comunicación abierto a negocio, los consumidores podrían valorar de una forma más eficiente los recursos que consumen. En un modelo avanzado, se puede establecer una refacturación directa de los servicios TI a los negocios que los consumen.

4. Poder compararse y establecer líneas base

Los benchmark de rendimiento permiten posicionarse a la compañía en múltiples aspectos, por un lado, midiendo la evolución de sus costes en el tiempo, y por otro lado comparándose con el mercado.

Disponer de modelos estándares (por ejemplo, ATUM) permite acceder fácilmente a este tipo de comparaciones, dando herramientas a los CIOs para identificar oportunidades de optimización.

5. Identificar oportunidades de optimización

La optimización de costes suele ser uno de los objetivos en el que los CIOs encuentran mayores dificultades en tangibilizar resultados. Esto es debido principalmente a la falta de un análisis previo que habilite la comprensión del impacto concreto de cada iniciativa de optimización, y la medición de su resultado.

Mediante la transparencia y el uso de las herramientas adecuadas, podemos, no solo recortar los gastos, sino evaluar el consumo de servicios para asegurar un sólido alineamiento con las prioridades de negocio y hacer un seguimiento de indicadores de costes y rendimiento. Ofreciendo la oportunidad de liberar recursos que pueden destinarse a la innovación y la transformación del negocio.

Desde Capgemini Invent, acompañamos a los CIOs en el camino hacia la transparencia y la optimización de costes TI

Nuestra metodología consiste en analizar, estructurar y optimizar los costes TI, basándonos en el principio de transparencia, con un enfoque progresivo.

Nuestra filosofía gira alrededor de tres ejes principales:

1. Priorizar el valor que las TI aportan a negocio
2. Facilitar la comunicación y el análisis financiero
3. Optimizar costes sin impactar en la calidad de los procesos operativos y los servicios entregados.

Si estás interesado en seguir la discusión, no dudes en contactar con nosotros:

Damien Hallé, IT Cost Management Lead

damien.halle@capgemini.com

Ignacio Grandes Núñez, IT Cost Senior Consultant

Ignacio.grandes-nunez@capgemini.com

Sostenibilidad IT, una prioridad creciente

El crecimiento exponencial de la digitalización y su potencial impacto medioambiental en todo el mundo, hace que la sostenibilidad de las tecnologías de la información esté cada vez más presente en los ámbitos de decisión IT de todas las organizaciones.

En el informe TI Sostenible, Capgemini identifica, sin embargo, que esta prioridad aún no está suficientemente extendida, ya que sólo un 20% de las compañías dispone de una estrategia completa de TIC sostenible. Este mismo informe señala que, frecuentemente, las medidas de sostenibilidad pasan por alto el ecosistema de las aplicaciones, como demuestra el hecho de que casi un 60% de las organizaciones no tiene planes de eficiencia para su arquitectura o implementación de aplicaciones.

El “efecto cloud” en la sostenibilidad

El Cloud Computing se está erigiendo en una palanca fundamental para mejorar la sostenibilidad IT. La mera decisión de migrar al Cloud habilita relevantes mejoras respecto al TI tradicional. Algunos estudios cuantifican esta mejora en unos valores entre 72% y 98% de eficiencia en huella de carbono, apalancándose en las capacidades de escalado e innovación de los hyperscalers.

Debemos aprovechar aún más el impacto de esta decisión, incorporando en nuestro proceso de adopción del Cloud una cultura sostenible para el diseño e implementación de la modernización de aplicaciones.

Pero, ¿cómo aprovechar la modernización de mi aplicación para que contamine menos?  Aunque la pregunta parezca nueva, en realidad está presente desde que se empezó a diseñar software, cuando los recursos eran escasos y caros, y los ingenieros de software pensaban constantemente en optimizar el uso de CPU, RAM, red y almacenamiento.

Con el Cloud y su promesa de recursos ilimitados a bajo coste, comenzamos a olvidarnos de esa búsqueda. A continuación, se enumeran algunas ideas para recuperar esta preocupación en las etapas de diseño, desarrollo y despliegue de nuestras aplicaciones.

Multiplicar las oportunidades de optimización con un diseño modular

El diseño modular destaca como una de las mejores prácticas de arquitectura y forma parte de las recomendaciones de arquitecturas de los principales HyperScalers. Este principio enfatiza la modularidad y desacoplamiento de los sistemas, utilizando, por ejemplo, microservicios, APIs o eventos. Esto permite implementar optimizaciones incrementales focalizadas en los puntos calientes del sistema:

• Usando el poliglotismo que habilita una arquitectura de microservicios para seleccionar el lenguaje de programación más adecuado a cada situación. Aunque las mejoras son continuas, aún parece claro, según algunos estudios, que los lenguajes interpretados son menos eficientes en uso de CPU y memoria que los lenguajes compilados. En escenarios exigentes, la diferencia en consumo de recursos puede llegar a ser bastante relevante.
• Asilando en contenedores o funciones serverless casos de uso especialmente favorecidos por lenguajes optimizados, y aprovechar la versatilidad del Cloud (por ejemplo, custom handlers de Azure Functions) para utilizar lenguajes de nicho como Rust o Go, si esto nos da una ventaja relevante.
• Aprovechando las palancas de optimización que incorporan de manera continua los lenguajes más extendidos en el mundo corporativo. Actualizar la versión de Java o .NET puede proporcionar mejoras automáticas en la eficiencia del código existente, pero también puede habilitar nuevas herramientas. Por ejemplo, la compilación nativa Ahead-Of-Time (AOT) para Java reduce considerablemente el start-up time y el uso de memoria. Posibles estándares de futuro están en desarrollo con Spring Native o el Project Layden de OpenJDK, mientras que otros actores como GraalVM o Quarkus ya tienen soluciones completamente operativas. Microsoft también incluye en el roadmap la compilación nativa AOT en .NET 7.

Un diseño modular en un entorno cloud simplifica notablemente la implementación de buenas prácticas adicionales de diseño sostenible, como mover cargas intensivas a localizaciones con menos emisiones o establecer mecanismos de caché o CDN para reducir procesamiento y tráfico.

Asegurar la eficiencia del código generado

Tras un diseño ecoeficiente, hay que observar las decisiones que tomamos a la hora de codificar nuestra solución. Como organización debemos ayudar a generar preocupación por código sostenible mediante la incorporación de indicadores específicos en nuestros pipelines de desarrollo.

Un buen primer paso es chequear el uso de mejores prácticas para el rendimiento en nuestro código mediante reglas de validación en las herramientas de análisis estático.

Un paso más allá es implementar indicadores específicos sobre la eficiencia en el uso de recursos del código generado. En Capgemini, hemos desarrollado internamente Greensight, un plugin de Sonarqube que chequea la aplicación de mejores prácticas en el diseño sostenible de las aplicaciones. Este plugin está integrado en nuestro acelerador de DevOps Production Line y está en uso en más de 100 proyectos. Adicionalmente, Greenlight Probe es un complemento para validar la ganancia en eficiencia durante las pruebas de carga del sistema. Estos datos pueden alimentar árboles de decisión sobre el portfolio de aplicaciones, como los de eAPM (economic Aplication Portfolio Manager) de Capgemini, que puede enriquecer con otras fuentes de información para establecer la huella de carbono de las aplicaciones y acelerar el proceso de modernización sostenible.

Pipelines de despliegue rápidos y artefactos reducidos

Aunque los recursos dedicados a la compilación y despliegue suelen ser relativamente mucho menos importantes que los dedicados a la ejecución, es también necesario consolidar buenas prácticas de eficiencia en esta fase del ciclo de vida del software;  más si cabe, en los entornos ágiles de integración y despliegue continuo, que se beneficiarán adicionalmente de ciclos de desarrollo más cortos y ligeros.

Estos objetivos de eficiencia se pueden concretar en buscar la reducción de los tiempos de compilación (mejora en uso de CPU y RAM) y reducir el tamaño de los artefactos producidos (mejoras en networking y almacenamiento).

Trabajando con contenedores y técnicas ágiles de DevOps, podemos aprovechar la compilación multi-etapa de nuestras imágenes. Utilizando imágenes independientes para la precompilación de dependencias y utilizando distroless images como contenedor de despliegue final, se pueden conseguir reducciones de más del 95% en los tiempos de compilación o del tamaño del contenedor resultante.

Creando una cultura sostenible

Este artículo enumera algunas decisiones de diseño y técnicas que pueden aportar un empuje sostenible adicional durante el proceso de modernización de nuestras aplicaciones:

• Diseñar sistemas modulares que faciliten el aprovechamiento de las ventajas de un entorno cloud y la utilización del paradigma de programación más eficiente en cada momento.
• Tener en cuenta las diferencias en eficiencia en lenguajes de programación, frameworks o incluso sus diferentes versiones.
• Implementar técnicas de análisis estático y dinámico de la eficiencia del código.
• Utilizar las técnicas disponibles para reducir los tiempos de compilación y los tamaños de los artefactos.

Estos son sólo algunos ejemplos dentro de un amplio conjunto de decisiones que se toman en el día a día de los equipos de arquitectura, ingeniería o desarrollo. Para garantizar resultados, es imprescindible instaurar una cultura que favorezca la búsqueda continua de esta eficiencia y dotar a estos equipos de herramientas que simplifiquen el proceso, buscando, por ejemplo:

• Establecer objetivos claros y cuantificables y sistemas de monitorización que permitan realizar un seguimiento y celebrar los éxitos conseguidos.
• Introducir políticas de formación continua en técnicas y herramientas.
• Facilitar herramientas y frameworks de desarrollo alineados con prácticas sostenibles y sustainability by design.

Una vez comience a interiorizarse esta cultura, los resultados se irán produciendo de manera natural. No es necesario esperar a diseñar y acometer grandes cambios organizativos o técnicos, pero sí empezar pronto a tomar decisiones;  dar pasos pequeños, pero constantes y firmes, para hacer del proceso de modernización de aplicaciones Cloud una herramienta relevante en nuestra búsqueda de un futuro más sostenible.

Autor:

Juan Pablo Antequera,

Cloud advisor | South & Central Europe Cloud CoE

Antes de nada, y acotando el alcance, conviene definir qué se considera una infraestructura crítica. De manera genérica y simplista, se puede definir como el conjunto de sistemas, servicios y funciones clave cuya disrupción, destrucción, alteración o uso malintencionado podrían suponer un impacto negativo en la salud y bienestar de las personas, la seguridad nacional, e incluyendo aspectos como energía, comercio y comunicaciones; y cuya combinación sería nefasta en la sociedad actual.

Con motivo de preparar a las diferentes industrias, y compañías claves del sector público y privado, frente a amenazas cada vez más plausibles y sofisticadas, en los últimos años, y particularmente en los últimos meses, un importante número de entidades, agencias e iniciativas promovidas desde niveles gubernamentales y estatales han ido incrementando el número de mensajes e inversión en materiales de soporte que definan, orienten y ayuden a las empresas a mejorar sus niveles de madurez. Hemos visto de manera generalizada cómo se han orientado los esfuerzos a facilitar la realización de assessments (entendimiento del nivel de madurez e identificación de gaps frente a marcos de trabajo basados en estándares y buenas prácticas), así como de concienciar a los usuarios en la importancia de la seguridad y de cómo protegerse frente a ataques comunes (p.ej. phishing), y en algunos casos de mayor sofisticación (p.ej. malware embebidos). No obstante, este tipo de campañas y acciones no son suficientes cuando hablamos de enfrentarse a capacidades consolidadas de ataque de grupos organizados, y donde no solo hay que centrarse en la protección y/o prevención.

En relación con los assessments, ya son un elevado número de entidades orientadas a sectores críticos las que de alguna manera los han completado, y se encuentran en diferentes etapas de implementación de los planes de acción derivados de los mismos (a nivel estratégico, táctico operativo); aunque pocas pueden considerarse como posicionadas en el último eslabón de madurez; o con unos niveles de cumplimiento elevados en relación con regulaciones o normativas específicas del sector (p.ej. energético con NERC-CIP, EU for Energy Sector, OFGEM, IAEA TR, ISO 27019, NISTIR,…). Como siempre, no hay que confundir cumplimiento con seguridad, pero gracias a él se han establecido unas bases que han permitido al menos conocer el momento en que se encuentran, y definir puntos evolutivos partiendo de un nivel de seguridad mínimo homogéneo que igualmente ha tratado de cubrir los puntos considerados de alto riesgo a través del cumplimiento de controles de seguridad críticos. Organismos como INCIBE (ES), ENISA (EU), y también CISA (EE.UU.), ponen a disposición de los interesados una base de datos de información y empresas capacitadas para llevar a cabo este tipo de servicios; así como de materiales para orientar a todo tipo de negocios e incluso entidades locales a tomar decisiones sobre dónde enfocar los esfuerzos para maximizar las inversiones de seguridad y mejorar las capacidades de defensa, incluyendo la recuperación tras sufrir un incidente. Porque de nuevo, se ha puesto foco en el cumplimiento normativo y regulatorio, pero en coyunturas de alto riesgo como pueden ser guerras, escenarios económicos complejos, polarización política, e intereses y motivaciones extremistas, es donde los ataques a diferentes sectores, y particularmente organizaciones objetivo, pueden convertirse en una pesadilla para la sociedad. ¿Cortes de suministro? ¿Disrupción de comunicaciones? ¿fuentes oficiales caídas? ¿exfiltración de datos sensibles a nivel geopolítico y estratégico?… son una realidad (me gustaría no decir que constante), y hay que estar preparados para defenderse. El debate sobre capacidades orientadas al contraataque vamos a obviarlo en este artículo, puesto que puede dar mucho de sí, y depende del sector que pueda verse afectado en el ataque inicial el plantearse posibles represalias.

Continuando con lo anterior, se ha visto una tendencia ascendente a poner foco en la capa estratégica; y, en el contexto actual de polarización global y teniendo muy presente la guerra de Ucrania, se han incrementado los mensajes orientados a fomentar los lazos y contactos con gobiernos, agencias, y partners de la industria; compartiendo prácticas, y en algunos casos incluso capacidades, como inteligencia o expertos, para evaluar requerimientos, actualizar marcos de riesgo y control, estándares, e incluso compartir experiencias relativas a tecnologías y productos específicos de múltiples fabricantes.
En línea con el acceso a recursos y mejora de las capacidades, existen una diversidad de fuentes gratuitas a través de las cuales conseguir guías de assessment (control, riesgos, y/o técnicos), arquitecturas de referencia IT/OT/ICS/SCADA, y orientaciones sobre controles, programas
de desarrollo de capacidades, y ciberejercicios, entre otros. Además de los organismos mencionados anteriormente, existen específicos por industria, y por supuesto las propias visiones de fabricantes conocidos (p.ej. Microsoft CriticalInfrastructure Protection, Fortinet CIP, GE Digital, Cisco CNI, Honeywell, …). En este sentido, las últimas cobran especial importancia cuando hablamos del concepto top-down, al buscar la protección, monitorización y respuesta a nivel táctico y operativo, sin olvidarse por supuesto que cualquier implementación o modificación a nivel de configuración debe hacerse bajo supervisión experta y desde la experiencia.

Protección y defensa

Igual de importante es diferenciar asimismo entre protección y defensa, puesto que la defensa incluye la detección y respuesta como procesos clave, y parte de la premisa de que toda protección es susceptible de ser evadida o vulnerada. En este sentido, una mayor capacidad defensiva se centra en minimizar el tiempo de detección de incidentes de seguridad, y la puesta en marcha de las diferentes capacidades reactivas, buscando la automatización en la medida de lo posible; para frenar la propagación del ataque y minimizar asimismo el impacto del incidente para recuperar el estado mínimo operable definido en los planes de respuesta. Adicionalmente, cuando se habla de monitorización y respuesta, y considerando el ámbito del alcance, deben haberse establecido previamente los mecanismos de comunicación que garanticen la notificación de indicios de incidentes o la exposición a riesgos críticos inmediatos, y se movilicen los equipos internos o externos correspondientes para hacer frente a posibles amenazas inmediatas. Por ello, hay que resaltar la importancia de apoyarse en grupos de trabajo y establecer contacto con  empresas del sector y SME especializados en los mismos para acelerar el despliegue de contramedidas. La defensa de infraestructuras críticas se sustenta en la base de relaciones y alianzas que faciliten la interacción con organismos públicos y empresas especializadas, de cada uno de
los sectores críticos identificados. Por ello, considerando la situación actual de alto riesgo derivada mayormente del contexto geopolítico, deben consolidarse las alianzas existentes a nivel público y privado para garantizar acciones efectivas a la hora de reducir los riesgos y poder responder de manera ágil a posibles disrupciones a las infraestructuras críticas. Igual de importante es aumentar los esfuerzos destinados a la defensa de los entornos industriales (OT/ICS/SCADA/DCS) que suponen buena parte del conjunto de infraestructuras críticas. El aumento
de conectividad de los mundos IT/OT está acelerando un cambio de paradigma al crear nuevas complejidades a la hora de proteger y defender este tipo de entornos de amenazas externas e internas, dadas sus particularidades; y todo ello, sin olvidar escenarios más avanzados que consideren entornos híbridos y multi-nube.

En este sentido, es vital tener un conocimiento claro de todos los niveles tecnológicos en entornos críticos IT&OT (Ref. Purdue), su interconectividad, y dónde establecer las zonas de defensa. Por eso, se debe lograr una correcta segmentación de red para crear una diferenciación de zonas y protegerlas de diferentes amenazas y riesgos entre sí, considerando la microsegmentación, y con visión en el zero-trust en la medida de lo posible. Una efectiva ‘securización’ de las diferentes zonas requiere aspectos como la protección perimetral de los diferentes niveles, con  foco en la separación de la zona OT respecto de la IT, estableciendo DMZ y delimitaciones para proteger los elementos core de la infraestructura crítica; y por supuesto reforzar las medidas de protección a través del despliegue de un sistema adecuado de identidades y gestión de accesos, y garantías para las conexiones remotas; considerando primeramente para estas últimas que exista la necesidad real de las mismas. Si no es necesario, evitemos el riesgo derivado.
Entre los aspectos comentados para dotar a las organizaciones de capacidades defensivas, cabe destacar la necesidad de contar con una visión completa y control de la totalidad de activos y sus correspondientes vulnerabilidades, así como de controles de detección y su adecuado modelado según los principales escenarios de riesgo, en alineamiento con el contexto de la propia infraestructura crítica. Lo presente es de aplicación tanto en entornos IT como OT, con sus diferentes particularidades, y teniendo en cuenta que existen igualmente procesos de IT críticos que pueden paralizar las operaciones. Existen ya casos de éxito vinculados a monitorización y respuesta IT&OT.

El desplegar tecnologías adaptadas, innovadoras, específicas y/o adicionales, en alineamiento con el modelo defense-in-depth permitirá asimismo mitigar y responder a amenazas de ciberseguridad de manera ágil. Todo ello considerando siempre un punto de vista de soluciones efectivas a nivel de costes, y mayormente basadas en experiencias y casos de éxito y de uso positivos; y teniendo en mente que parte del presupuesto debe destinarse a capacidades basadas en recursos y apoyo de terceros en momentos de necesidad, puesto que la defensa activa supone un mayor coste. Y por supuesto, sin olvidar complementar ciertos procesos críticos en la parte de definición y protección, como son el bastionado de sistemas y la seguridad de producto, que permitirán tanto anticiparse, como agilizar las acciones de respuesta y remediación.

Como conclusión, las iniciativas a nivel público y privado que han tenido lugar en los últimos tiempos han supuesto un gran avance en relación con la seguridad, pero aún queda mucho camino por recorrer.
Hay que ir más allá. La seguridad de las infraestructuras críticas no es opcional, pues en los tiempos actuales debemos valorar la posibilidad real de encontrarnos con escenarios fatales. Por ello, debe asegurarse una mayor formación y dedicación profesional de especialistas para
garantizar un correcto despliegue de arquitecturas seguras y mejora de las actuales, y con el conocimiento y manejo de las correspondientes medidas de protección y defensa; teniendo presente que “sabemos cómo”, ahora hay que pensar en “cuando y quién”.

Artículo publicado en la revista SIC en su edición de septiembre.

Autor

Guillermo Hernández Oliván

CyberSec Operations Lead

El seguimiento tradicional de los costes en los sistemas convencionales es complejo y poco predictivo, por lo que muchas organizaciones han iniciado sus viajes de transformación en el Cloud con el objetivo de paliar estas limitaciones. Para la empresa centrada en los datos, su inmenso potencial hace que el Cloud sea prácticamente inevitable, pero muchas de ellas no consiguen estructurar un enfoque real de gestión monetario.

En el Cloud, las plataformas de datos no están limitadas en volumen o potencia de cálculo. Se encuentran en constante innovación y, además, permiten ampliar el uso de los datos dentro de la organización teniendo en cuenta diferentes actores. Pero si las posibilidades son ilimitadas, también lo son los costes. Esto es lo que ha llevado a que ciertas empresas hayan construido de forma imprudente infraestructuras de datos en el Cloud sin tener en cuenta todas las especificidades derivadas su precio. De hecho, los costes resultantes del almacenamiento en el Cloud son un problema en alza, ya que el 30% del gasto en el Cloud se desperdicia y para el 80% de los CIOs su inversión en Cloud va por detrás de las expectativas iniciales en cuanto a beneficios empresariales¹.

Entonces ¿cómo se puede tener una visión exhaustiva del consumo y garantizar que todos los equipos dentro de una organización hagan un uso óptimo de los entornos en el Cloud? Aquí es donde el enfoque FinOps adquiere gran relevancia, ya que, mediante el uso de esta práctica, permite garantizar que los entornos Cloud se utilicen de la mejor manera posible y, por tanto, aporten un valor real, debido a que integran el parámetro financiero en la ecuación del proyecto de datos. En la práctica, esto significa poner en marcha procesos que permitan la visibilidad y optimización de los costes, sin imponer restricciones drásticas a los usuarios. El objetivo es controlar los costes; utilizar el Cloud de forma que preserve la agilidad y la capacidad de innovación de la empresa, garantizando al mismo tiempo que no se produzca un consumo excesivo ni desviaciones del gasto.

El enfoque FinOps, también conocido como “gestión financiera del Cloud”, es necesario para la anticipación y este control de costes, ya que ayuda a las organizaciones a vincular la inversión en el Cloud de forma directamente proporcional a los resultados empresariales. Mediante la adopción de este nuevo modelo de operación en el Cloud, la arquitectura debe adaptarse a los usos, teniendo en cuenta el aspecto financiero (incluida la posible monetización de los datos). Se trata de un cambio total de mentalidad en las organizaciones y sus CIO, que deben abandonar sus patrones tradicionales basados en la compra de capacidad y los costes fijos.

Por lo tanto, el enfoque FinOps debe integrarse estrechamente en el proceso del proyecto desde el principio y debe ser global para adaptar la capacidad adecuada al caso de uso correcto. No es un control de gestión a posteriori, sino la inclusión en los proyectos de la nueva dimensión que impone la variabilidad de los costes de los servicios en el Cloud. Al integrar el aspecto financiero, son un acelerador, y no un freno, de la innovación y la optimización dado que preservan la flexibilidad y la capacidad de escala inherentes al Cloud, al tiempo que garantizan que los costes sigan siendo proporcionales a la creación de valor.

Partiendo de los usos, se interviene en la fase de diseño para garantizar que la arquitectura se ajusta tanto a las necesidades del negocio como a los principios tecnológicos y económicos del Cloud. Continúa con la aplicación de buenas prácticas de desarrollo, como la optimización de las consultas, y el seguimiento de los costes para reorganizarlos adecuadamente o emitir alertas en caso de desviación. Por último, el ciclo de mejora continua se completa con el análisis de estos indicadores para comprender el origen de los costes y aplicar las optimizaciones técnicas u organizativas adecuadas.

En este contexto, bien integrado en los proyectos, FinOps es un verdadero facilitador para las empresas que desean aprovechar un ecosistema de aplicaciones moderno, ágil y modular, capaz de ayudar a las organizaciones a ser cada vez más eficientes, o incluso a desarrollar nuevos negocios que no son accesibles con un sistema de información limitado a la gestión de la capacidad.

Autor:

Axel Hernández,

Director South & Central Europe CoE Cloud Azure Lead

Hoy en día, existe una gran exigencia por parte del mercado y las empresas deben responder rápidamente a las necesidades de los clientes. A la presión de mantener sistemas heredados e ineficientes, se añaden las exigencias propias de la empresa: garantizar y sostener la estrategia de negocio de la compañía.

Desde que el Cloud Computing supuso, hace 12 años, una revolución en la forma en que las compañías hacen TI, desde mi posición he visto casi de todo, si bien puedo decir que la mayoría de las organizaciones ha empezado por vivir un periodo de prudente expectativa “¿Qué beneficios obtendré moviéndome al Cloud?”, “¿Qué riesgos asumo en realidad?”, “¿Cómo de urgente es para mí este cambio?” Incluso… “¿Qué están haciendo mis competidores?”, moviéndose posteriormente a una estrategia de migrar las aplicaciones de forma prudencial “Parece que hay más pros que contras para mi negocio”, “la tecnología ha madurado, puede ser buen momento” o “Voy a probar en esta área que tiene poco riesgo” …

En la actualidad, estamos ante una nueva era en la que la migración masiva es la protagonista: Las empresas que lideraron esta modernización ya están recogiendo frutos, las que no lo hicieron, además de tener la sensación de que pueden estar perdiendo capacidad competitiva, están siendo seducidas por una mayor seguridad y sofisticación en las plataformas de Cloud actuales (que incluso superan los estándares establecidos por la arquitectura privada), y por la clara visión de futuro que el modelo Cloud facilita, en parte, gracias a los beneficios de escalabilidad, agilidad y TCO[1] reducido que consiguen.

Si el viento sopla a favor, ¿es la aceleración en este camino al Cloud una parada obligatoria para las empresas líderes?

Según Gartner, se espera que, para el año 2025, más de la mitad del gasto de las organizaciones destinado a software de aplicaciones e infraestructura de sistemas se habrá trasladado al Cloud. Por tanto, además de un buen programa de transformación, se hace indispensable involucrar a todos los líderes de TI para, entre todos, establecer el mejor enfoque y saber qué mantener en su estado actual, qué desechar y qué modernizar.

En consecuencia, es importante que la compañía contemple una estrategia para migrar los datos y aplicaciones de su arquitectura a las instalaciones de Cloud, teniendo primero claro los motivos que respalden tal proceso. En la etapa inicial de planificación, resulta conveniente ver si las aplicaciones están preparadas para el Cloud o si por el contrario necesitan rediseño; y así obtener el máximo provecho de la plataforma a la que se transita.

[1] Coste total de propiedad (Total Cost of Ownership)

Autor

Gabriel Enríquez Molina,

Director responsable del área de Cloud & Custom Applications