Es poco probable que la actual administración asuma un papel activo en torno a la infraestructura de ciberseguridad, aunque los DevOps son una buena decisión
Erick Ortiz Vega
Socio fundador de Sulvolta
El 7 de mayo, la empresa con el sistema de oleoductos más grande en Estados Unidos, Colonial Pipeline anunció que había sido atacada por un ransomware y por tanto, había cerrado operaciones. Con el oleoducto fuera de servicio, los precios de la gasolina se dispararon.
De este hecho destaca que, el ataque ransomware fue efectuado bajo la modalidad ransomware as a service (RaaS). Darkside fue la compañía que vendió las herramientas de malware para cifrar los datos, pero también los servicios de atención al cliente, con el objeto de efectuar las llamadas de negociación con la víctima, Colonial Pipeline. Darkside no efectuó el ataque, actuó como el proveedor de servicios de nube y dio, además, el hospedaje a los datos robados. Su modelo económico consiste en tomar entre el 10 y 25% de las ganancias del pago del rescate; pero incluso, ofrecen vender información robada a stock traders para obtener una ganancia extra. Aplican muy bien el refrán: Ladrón que roba a ladrón.
►TE PUEDE INTERESAR►MIRAR LA REFORMA A LA LIE CON OJOS DE CONSUMIDOR
Partiendo de este contexto, cito a Arturo Carranza, asesor y consultor energético, “para CFE y Pemex debe ser una llamada de atención, con respecto a la vulnerabilidad de la infraestructura energética en el país”.
¿Empresas reforzarán infraestructura?
La teoría dice que, ante este hecho las empresas de la industria de utilities reforzarán su infraestructura de ciberseguridad. Si el pronóstico es acertado, las ganancias por ransomware se reducirían y dicho mercado por ende será cada vez menos atractivo. En el contexto mexicano se sabe que, por parte del actual gobierno no ocurrirá la proactividad, ni la defensa; el antagonismo en el sector energético que Carranza describe como “la confrontación entre permitir el libre juego del mercado y el fortalecimiento del Estado mismo”, ha permeado al interior de la operación de las Empresas Productivas del Estado (EPE). Además, ha establecido una confrontación entre aprobar inversiones en tecnologías y desarrollar una propia con el uso de software libre.
Frente a este pronóstico lo que queda, no es convencer sobre un cambio ideológico con el fin de aprovechar los valores agregados resultado de la inversión en tecnologías propietarias, sino motivar el reforzamiento de la seguridad y la ejecución de buenas prácticas en el desarrollo a partir de la utilización de software libre.
Adopción de DevOps
La adopción del marco de referencia de DevOps permite minimizar las vulnerabilidades propias del desarrollo del software, así como las derivadas de la comunicación con las líneas de negocio. Este marco de desarrollo hace hincapié en la colaboración, la automatización y la medición de la cooperación entre los desarrolladores de software y otros profesionales operadores de tecnologías de la información, por ejemplo, el área de ciberseguridad.
Ataques ransomware han mostrado que el código y la cadena de suministro del desarrollo del software son el siguiente vector de combate en esta década.
Por otro lado, la competencia dentro de la industria energética demanda que las empresas sean capaces de ofrecer servicios públicos a través de métodos más ágiles. Se vislumbra que en los próximos 10 años se consolidará la era de 24×7, donde el cliente definirá el servicio en sus términos. Lo escribo como creyente en el modelo centrado en el cliente, pero, ante el antagonismo que permea el sector se antoja difícil gozar de las bondades que ofrece la competencia, al menos durante los tres años siguientes.
No obstante, un monopolio, también puede sacar provecho de la cultura DevOps. Basta recordar que el 17 de mayo el banco de inversión norteamericano Goldman Sachs reclamó a la Comisión Federal de Electricidad (CFE) el pago de 400 millones de dólares por la gestión realizada en una operación de gas natural. La comisión argumentó el no pago debido a que sus traders no estaban autorizados para realizar el trato.
►TE PUEDE INTERESAR►GD, EL CORAZÓN DE LA ARQUITECTURA DEL GRID ELÉCTRICO INTELIGENTE
CFE, Pemex y DevOps
Deja claro un hecho, que la CFE requiere la colaboración entre múltiples equipos de soporte administrativo en el campo y que la comunicación inefectiva, señal de gobernanza deficiente, puede costar mucho a la eficiencia operativa.
Por ello es importante que CFE y Pemex abracen la cultura DevOps, no solo por su impacto en la agilidad del desarrollo de software para atender las necesidades de los consumidores, sino también por ser una cultura de pensamiento colectivo, que facilita la cohesión de funciones propias de departamentos aislados. De esta manera, se genera la alianza entre negocio, desarrollo, soporte de aplicaciones y la infraestructura de operación.
Cito a Tiffany Jachja, evangelista de la nube y DevOps en Harness “DevOps son las personas, los procesos y la tecnología, que en conjunto impulsan el valor comercial a través de la entrega de software”. Que puede proteger contra ataques ransomware, simplificar procesos de comunicación, automatizar toma de decisiones o soportar el marco de gobierno de una empresa.
Si verdaderamente, el gobierno desea fortalecer a las dos Empresas Productivas del Estado debe comenzar desde adentro, donde se ubica lo más relevante que una compañía posee: su cultura.
►TE PUEDE INTERESAR►V2G, ASISTENTE VENTRICULAR EN EL GRID ELÉCTRICO INTELIGENTE