Entorno

El correo electrónico es uno de los servicios IT que puede contratarse de forma fácil y cómoda en formato SaaS (Software-as-a-Service) en la nube. O365 de Microsoft es una de las alternativas, que adicionalmente incorpora herramientas de edición de contenidos, colaboración, compartición de información, etc. Existen varias propuestas que incorporan más o menos funcionalidades y/o capacidad según el perfil contratado (fee).  Microsoft se compromete a la disponibilidad del servicio, pero no a asegurar la integridad y autenticidad del dato que no deja de ser responsabilidad de la empresa contratante del servicio.

Como todo servicio IT que gestiona datos debe cumplirse que la inversión en la protección de los mismos debe estar alineada con el valor y la criticidad de los mismos para la organización. Podemos hacer un pequeño análisis (No exhaustivo) de los elementos a considerar para considerar el nivel de inversión adecuado para los datos gestionados en este servicio; este análisis parte de valorar el coste que tendría perder información, los riesgos conocidos (Los desconocidos es muy difícil prevenirlos) que debemos afrontar, su probabilidad (¿Han ocurrido en el pasado?), y las acciones que podemos realizar para reducir su probabilidad y mitigar el impacto que pueden tener en caso de que ocurran.

Valor monetario de los datos.

Debemos considerar en este punto los diferentes costes que deben asumir las organizaciones en caso de caída / fallo del sistema o de pérdida de la información. En particular, pueden contemplarse los siguientes factores de coste:

• Pérdida de ingresos
• Aumento de costes asociados a la recuperación de los mismos
• Pérdidas reputacionales
• Impacto legal relacionado con problemas de cumplimiento con la legislación vigente (Compliance)
• Multas: GDPR

EL COSTE SIEMPRE ES DEPENDIENTE DE LA ORGANIZACIÓN, Y VARIA SEGÚN LA ACTIVIDAD DE LA MISMA

Análisis de riesgos

El siguiente paso sería analizar los riesgos que afrontan las empresas a la hora de desplegar servicios en la nube. No son exclusivos del servicio de correo ofrecido por Microsoft. Tenemos riesgos de diferentes naturalezas que agruparemos en varios grupos para mejor comprensión:

Riesgo Empresa Proveedora

• Probabilidad de que el proveedor cierre
• Probabilidad de que sea comprado y afecte al servicio
• Probabilidad de que se deshaga del servicio (Por falta de rentabilidad, complejidad en su mantenimiento, cambio en la tendencia del mercado, etc.)
• Probabilidad de que aumente el coste del servicio en un futuro y lo haga insostenible (Situación que puede darse si se reduce el número de competidores y el proveedor alcanza una posición de predominio en el mercado en cuestión, o si el volumen de negocio del proveedor con nuestra organización baja y decide reducir los niveles de descuento otorgados)
• Probabilidad de que el proveedor se convierta en un competidor de nuestra organización y tenga acceso a nuestros datos
• Probabilidad de que el proveedor pueda comerciar con nuestros datos (o entregárselos a un tercero)

Riesgos tecnológicos

• Vendor Lockin (Estrategia utilizada por los fabricantes de software para generar dependencias de los usuarios de sus tecnologías que generan barreras de salida. Por ejemplo: Ligar diferentes tecnologías en un único producto, incompatibilidades con otros proveedores, etc.)
• Coste de cambio (Muy ligado al anterior. Si el coste de cambio a otro proveedor es muy elevado, el riesgo de vendor lockin es alto y el de subida de costes también)
• Technical Debt (Coste que tendremos que asumir en el futuro al tomar las decisiones más fáciles en el presente, y mirando solo al corto plazo. Ejemplo: Costes de integración con otras aplicaciones / servicios, coste de comunicaciones, costes de seguridad, costes de despliegue de otras iniciativas (Ejemplo: Llevarse el correo a un entorno como O365 puede dificultar el desarrollo de iniciativa de “People Analytics” en el entorno de RRHH donde queramos utilizar los datos de uso del correo), etc.)
• Evolución futura del servicio alejada de los intereses de la organización

Riesgos de la explotación del servicio

• Probabilidad de caída del servicio (Ejemplo: Esto ya ha ocurrido en el pasado https://www.theregister.co.uk/2018/04/06/office_365_outage/)
• Corrupción de datos
• Fallos humanos
• Sabotaje interno
• Incorrecta administración de los elementos (Ejemplo: No parcheado de los sistemas, fallos en la gestión de vulnerabilidades, fallos en componentes terceros (DNS, AD, red, direccionamiento IP, etc.), no se corre el Antivirus, no se replican correctamente los datos, etc.)
• Amenazas externas: Ramsonware, hackers, etc.
• Configuración incorrecta de los recursos y las funcionalidades
• Despliegue en las regiones incorrectas
• Uso incorrecto de las herramientas de apoyo a la explotación (Ejemplo: Monitorización, auditoría, etc.)

Riesgos administrativos

• Riesgo de no comprar lo que se necesita (Hay diferentes versiones del servicio)
• Riesgo de no renovación de suscripciones
• Riesgo de retraso en la renovación de las suscripciones
• Riesgo de no presupuestar correctamente el coste del servicio
• Riesgo de una gestión incorrecta de los SLAs acordados (Ejemplo: No nos entregan las capacidades de almacenamiento acordadas, no se filtra el contenido entrante en el sistema, etc.)

Al final, todos estos elementos (Y seguro que alguno más que no he listado) afectan al servicio, la integridad del dato y la satisfacción del usuario final.

Microsoft comercializa una última versión de Exchange 2016 para su despliegue en las instalaciones del cliente, y esta es la base tecnológica del servicio de correo electrónico que ofrece a través de O365. Todas las funcionalidades están disponibles en la versión on premise (Replicación, DAGs, archivado, retention, etc.), y aun así nadie deja de hacer backup a su entorno de correo basado en Exchange 2016. En particular (Opinión personal), creo que Microsoft afronta con este servicio lo que describe el Ingeniero en Jefe de VMWare al describir su experiencia con el nuevo servicio que ofrecen denominado “VMware on AWS”, quien dice:

“"We've known for a long time that installing and patching our software is painful," said Tarsuk-Levin. "And we've made steps to try to improve that over the year, but this is one of the first times we've really felt that pain ourselves. ...The challenge of upgrading every quarter at scale is immense."”

Puedes encontrar esto en:

https://www.theregister.co.uk/2018/05/31/vmware_radio_innovation_conference/

No creo que Microsoft lo haga mejor que VMware dado que ambas son compañías que desarrollan software que hasta ahora se ejecutaba en las instalaciones del cliente, ahora lo ofrecen en modo servicio y han descubierto que mantenerlo en marcha es mucho más complejo de lo que pensaban. Bueno, en el caso de Microsoft es peor porque hay que parchear semanalmente como mínimo.

Análisis de la oferta tecnológica

Ante la demanda de proteger los datos de las aplicaciones desplegadas en formato SaaS han aparecido nuevos proveedores de tecnología (Druva, Barracuda, Actifio, Cohesity, Netapp (Vía adquisición de CloudSync, etc.); al tiempo que los proveedores tradicionales de tecnologías de protección de la información completaban su tecnología Commvault, Veeam, Veritas, Dell EMC (Via Spanning), etc.

Todas estas compañías están desarrollando tecnología para proteger datos no solo de O365 sino de los proveedores de SaaS más exitosos del mercado: Salesforce, Dropbox, Google, etc.

Análisis de la demanda

El planteamiento de las organizaciones que adoptan el servicio de correo en la nube es bipolar. O no se protegen nada en absoluto y confían en la fiabilidad del proveedor, o despliegan herramientas de terceros que se adecuan a sus necesidades.

Para definir una correcta estrategia de protección del dato, debemos contemplar las mejores prácticas en esta área de trabajo. Hay una máxima que aplica desde hace mucho tiempo que ha popularizado Veeam en los últimos años denominada 3-2-1 (3 copias del dato, en dos medias distintas, con una copia en un segundo centro). En realidad, esto ya lo aplicaba Google en sus servicios como puede verse en el siguiente video:

https://www.youtube.com/watch?v=avP5d16wEp0

Aun así, muchos de los proveedores identificados ofrecen tecnología para proteger los datos que uno tiene en G-Suite.

Conclusión

Como cualquier otro servicio, O365 debe contemplar no solo la adquisición de la tecnología o el servicio sino de todos los elementos necesarios para una correcta explotación. En particular la protección del dato la considero esencial tanto para la recuperación (Habrá que definir qué tipo de recuperaciones se quieren hacer, dónde, niveles de servicio (RTO/RPO), retención a aplicar a las copias, medias, DRP, etc.), como para su uso posterior en otro tipo de entornos (People Analytics, marketing, operaciones, etc.).