Gerald Pfeifer es doctor en ciencias técnicas y está vinculado al código abierto desde antes de que se acuñara el término. Es el CTO de SUSE y también ocupa el puesto de Presidente del Consejo de openSUSE. Pfeifer cuenta a Dirigentes cuáles son las claves de la transformación digital, el papel que juega el código […]
Dirigentes Digital
| 30 ene 2023
Gerald Pfeifer es doctor en ciencias técnicas y está vinculado al código abierto desde antes de que se acuñara el término. Es el CTO de SUSE y también ocupa el puesto de Presidente del Consejo de openSUSE. Pfeifer cuenta a Dirigentes cuáles son las claves de la transformación digital, el papel que juega el código abierto y la importancia de la seguridad de los sistemas informáticos.
La transformación digital trata de aumentar la agilidad y la resiliencia del negocio para mejorar el servicio al cliente. Hay aspectos (aplicaciones, procesos, etc.) con los que los clientes interactúan directamente y hay plataformas subyacentes que apoyan esos aspectos. En los últimos dos o tres años, hemos visto a muchas empresas embarcarse en un viaje cloud-native, que a menudo incluye la migración a algún tipo de nube.
Sin embargo, también son muy importantes las nuevas aproximaciones cloud-native para la arquitectura, el desarrollo, el despliegue y las operaciones de cargas de trabajo; y las arquitecturas de microservicios, contenedores, Kubernetes (y Linux como su base) o, en la parte de seguridad, disponer de una cadena de suministro de software segura y de “confianza cero”. Todo esto es al menos tan relevante en el perímetro, o Edge, como lo es en la nube. Son simplemente mejores maneras de abordar el software, independientemente de dónde opere.
Técnicamente, lo que define el software de código abierto es una licencia de código abierto que te da el derecho de usarlo, inspeccionar el código fuente, cambiarlo y compartirlo con otros. Sin embargo, el verdadero código abierto va mucho más allá: se trata de colaboración, de comunidades diversas de desarrolladores, usuarios, partidarios y promotores que están compuestos por individuos, empresas, universidades y organizaciones de investigación.
Según BCG, hay más de 56 millones de desarrolladores activamente contribuyendo a proyectos de código abierto, con una velocidad y escala de innovación que solo este modelo puede proporcionar. Lo que hace es aprovechar el poder de las revisiones distribuidas entre miembros y valora altamente la transparencia y la elección. Ahora, algunos proveedores, mientras venden sus distribuciones de código abierto u ofertas basadas en código abierto, tratan de atrapar a los clientes: ganan con código abierto, pero van por el camino antiguo.
A veces, los usuarios o los clientes pueden tener dificultades para manejar el flujo de cambios y las posibles interrupciones e incompatibilidades al consumir directamente este tipo de código desde los diferentes sitios de proyectos, ya que no hay nadie que les ayude si algo sale mal.
Independientemente de dónde se ejecuten tus cargas de trabajo, independientemente de cuál sea su arquitectura o de quién opere la infraestructura, los entornos de aplicaciones y las cargas de trabajo reales, la seguridad y el cumplimiento son finalmente tu responsabilidad como negocio. La consistencia y la disciplina son importantes, así como hacer que tus proveedores se ajusten a las mejores prácticas y cumplan con los estándares y regulaciones de la industria, idealmente con certificaciones (como Common Criteria, FIPS…) y estándares (como SLSA de Google) como puntos de prueba cuando proceda.
La computación en la nube suele ir de la mano con el mundo de los contenedores o la computación cloud-native, lo cual suele ser bastante dinámico y diverso. Esto requiere nuevos enfoques de seguridad, como modelos de confianza cero alrededor de los contenedores, una automatización importante y proteger con más cuidado que nunca las cadenas de suministro de software.
La soberanía digital es otro aspecto a considerar: ¿dónde reside tu información (y la información de tus clientes)? ¿Quién tiene control sobre esas plataformas? ¿Quién tiene finalmente el control y acceso a esa información?
Gartner pronostica que para 2025, el 45% por ciento de las empresas a nivel mundial habrán experimentado ataques en sus cadenas de suministro de software. La seguridad en las cadenas de suministro puede ser un enfoque nuevo para muchos usuarios. Sin embargo, para distribuidores de código abierto como nosotros, esto ha sido nuestro pan de cada día durante más de dos décadas. Nuestras soluciones consisten en miles de componentes de diversas procedencias. Si miramos a los mantenedores, desarrolladores y sus respectivas infraestructuras, estamos hablando de decenas, cientos de miles de posibles puntos de ataque. Tanto proveedores como usuarios deben asegurar que cualquier actualización no contenga elementos indeseables: errores o código que se colaron por accidente, como vimos recientemente en el contexto de la guerra contra Ucrania, cuando los desarrolladores introdujeron lo que se llama "peace-ware", a veces con efectos dramáticos.
Hasta ahora hablamos de prevenir errores o cambios maliciosos para entrar en producción. Además, debemos asegurarnos de que los componentes hagan exactamente lo que se supone que deben hacer, especialmente cuando se trata de aspectos de seguridad relevantes como la criptografía, y someterlos a certificaciones como FIPS 140-4 y Common Criteria y estándares como SLSA de Google.
El número de ataques cibernéticos, así como otras amenazas de seguridad, está constantemente aumentando. Por lo tanto, en 2023 en SUSE nos desafiamos a nosotros mismos para proporcionar los niveles más altos de seguridad en todo nuestro portafolio en un entorno en constante evolución. Lo hacemos mediante la arquitectura de nuestros procesos y soluciones con la seguridad como premisa desde el principio, y sometiéndolos a procesos de certificación rigurosos.
Sin embargo, el aumento de los contenedores y dispositivos de edge eleva el listón. Las aplicaciones tienden a ser mucho más precisas, formando lo que se llaman microservicios, a menudo compuestos de componentes de múltiples fuentes y, en muchos casos, actualizados muy frecuentemente. Esto requiere automatización escalable y resistente, así como seguridad automatizada y escalable. Especialmente en entornos altamente dinámicos y altamente distribuidos, como nubes, oficinas de sucursales, centros de datos modernos, satélites, automóviles, requieren enfoques novedosos de seguridad, como los modelos de confianza cero para entornos de contenedores.
Idealmente, los sistemas se optimizan a sí mismos, aprenden qué es un comportamiento normal y deseable y reconocen, informan o bloquean directamente actividades inusuales, y lo hacen incluso cuando se ejecutan en entornos menos “estériles”. El sistema inmunológico humano es altamente apto para lidiar con la incertidumbre, los riesgos y las nuevas amenazas. Es hora de que nuestros sistemas de TI sean mejores en eso también.