AL PASO: ALGUNAS REFLEXIONES SOBRE LA OBSERVABILIDAD, LOS ENTORNOS DISTRIBUIDOS Y LA “IA”

Los entornos de nube y el descomunal crecimiento de la información que produce la más simple de las cargas de trabajo hasta la más compleja experiencia de usuario está abriendo un debate bastante interesante sobre la utilidad y hasta la conveniencia de “observarlo todo”. Especialmente entre los administradores de aplicaciones y, por supuesto, de infraestructura y seguridad: hemos pasado del ¿es posible monitorearlo? a ¿es práctico monitorearlo?

Actualmente, las aplicaciones en mayor o menor medida están conformadas por componentes que “viven” en distintas infraestructuras por lo que se requiere saber y entender lo que sucede en estos sistemas altamente distribuidos, especialmente para mantenerlos en operación. La observabilidad es el enfoque de moda por lo que las iniciativas en las organizaciones para instrumentarlos han proliferado igual que las soluciones.

Se ha llevado al extremo la sentencia atribuida a Peter Drucker: “Lo que no se puede medir no se puede controlar…”. Las herramientas de observabilidad están arrojando una inmensa cantidad de datos causando sobrecarga sin que esto se haya traducido en el aumento de la confiabilidad. Los reportes, dashboards incluso las alertas que se vendían como la solución ya no están respondiendo a las paradójicas exigencias de “verlo todo”.

Es necesario, fusionar los entornos de monitoreo y observabilidad. ¿A qué me refiero?

El monitoreo permite comprender el estado del sistema mediante registros; las herramientas detectan un conjunto conocido de formas en que los sistemas fallan y en el caso de ciberseguridad las formas en que son atacados. La observabilidad quiere ir más profundo a los estados internos y resultados externos o comportamiento. Sin un nivel básico de observabilidad, el monitoreo no es posible, pero sin monitoreo la observabilidad no sirve.

Volviendo al debate entre posibilidad y practicidad: la estrategia para manejar la inmensa cantidad de terabytes hoy por hoy no está en optimizar los tipos de datos y afinar el análisis, alertas y la configuración sino de superponer una capa de IA generativa para explotar e interactuar con esta telemetría, la meta es detectar, diagnosticar y, en última instancia, resolver problemas de manera automática.

La idea es que los equipos operativos como el SOC se concentren en tareas estratégicas, avanzadas y donde la inteligencia humana sea insustituible al tiempo que el resto de sistemas automatizados ayudan a garantizar el funcionamiento, rendimiento y seguridad. Servicios de ciberseguridad como desarrollo seguro y pruebas a las aplicaciones pueden ayudar a generar los cambios para que los sistemas generen la telemetría indicada de forma confiable.

La meta es pasar de un nivel básico de observabilidad con tareas manuales a un esquema donde intervengan plataformas para correlacionar eventos como el SIEM o medir parte de la experiencia de usuario. Luego pasar a otro donde se tenga asistencia de una IA y aprendizaje automático para automatizar el análisis de la causa raíz en operaciones y ciberseguridad, de modo que el personal operativo humano interprete las alertas y tome acciones.

Los siguientes niveles involucran cada vez más automatización de la observabilidad y la respuesta: desde un análisis para generar recomendaciones que deriven en una intervención humana sobre las plataformas (incluyendo las de seguridad) a contar con análisis complejos y automatizar respuestas a problemas conocidos (p.e. un NG SOAR con IA) y finalmente detección, diagnóstico y resolución sin intervención humana, la automatización total de la observabilidad y la respuesta orquestada.

El camino es largo y se está curvando: la capacidad de la IA para manejar complejidad de los sistemas dinámicos sin “sueños” o “alucinaciones” y de actuar sin intervención humana aún está lejos, especialmente en situaciones de alto riesgo o fuera de las líneas base. Pero el avance de la IA ha sido tan vertiginoso que los equipos de TI y ciberseguridad deben estar preparados para los cambios y atentos para explotar todas las herramientas a su disposición.

Enrique Lopez T.