El riesgo asociado a la dependencia de un proveedor de nube concreto para múltiples capacidades empresariales se encuentra entre los cinco principales riesgos emergentes para las organizaciones por segundo trimestre consecutivo, según una encuesta hecha pública por la consultora Gartner.
"Se está convirtiendo en un riesgo ampliamente reconocido para la mayoría de las empresas", asegura Ran Xu, director de investigación en la Práctica de Riesgo Legal y Cumplimiento de Gartner. "Muchas organizaciones se encuentran ahora en una posición en la que se enfrentarían a graves trastornos en caso de fallo de un único proveedor", asevera.
Este riesgo surge porque muchas organizaciones han optado por centrar sus esfuerzos en un puñado de proveedores estratégicos con el fin de reducir la complejidad de TI y, por lo tanto, también el riesgo, el coste y los requisitos de habilidades. Para agravar el problema, un escaso número de proveedores de hiperescala dominan los mercados mundiales y regionales con capacidades técnicas, alcance empresarial y ecosistemas de socios superiores.
"En los casos en que las organizaciones han optado por alojar sus servicios informáticos en nubes públicas, no hay muchas formas obvias de evitar el riesgo de concentración sin renunciar a las ventajas de los servicios en la nube", afirma Xu. "Además, las normativas a nivel nacional y regional divergen en cuanto al riesgo de concentración, la anticompetencia, la soberanía de los datos y las normas de privacidad relativas a los servicios en la nube, lo que complica aún más el panorama", añade.
3 consecuencias principales
Según los expertos de Gartner, tres riesgos principales se derivan de una excesiva concentración en la nube
1) Amplio "radio de explosión" de incidentes
Cuantas más aplicaciones (y procesos de negocio) dependan de un proveedor de nube en particular, mayor será la amplitud potencial del impacto de un problema de servicio en la nube, lo que puede aumentar las preocupaciones sobre la continuidad del negocio.
2) Gran dependencia del proveedor
La dependencia concentrada en un proveedor concreto puede reducir las opciones tecnológicas futuras y permitir a los proveedores ejercer una influencia significativa sobre el futuro tecnológico de la organización.
3) Incumplimiento de la normativa
Las organizaciones pueden ser incapaces de cumplir las exigencias normativas para abordar el riesgo de concentración a través de diferentes organismos reguladores, que pueden tener diferentes enfoques del riesgo de concentración.
"Actualmente, si las ventajas del uso de la nube pública se consideran estratégicamente importantes para una empresa, no hay muchas soluciones obvias para eliminar el riesgo por completo", afirma Xu. "Por eso es especialmente importante que las empresas tengan un plan de continuidad bien meditado para ponerlo en marcha en caso de que se enfrenten a algún problema importante con el servicio en la nube".
Otra iniciativa recomendable es conocer de antemano los daños que puede sufrir una organización ante un ataque informático, algo que hoy en día se puede calcular de antemano gracias a herramientas como la desarrollada por Armatum, empresa española que utiliza inteligencia artificial para afinar sus resultados.
Estudio y resultados
El informe Gartner 3Q23 Emerging Risk Report contiene información detallada sobre el posible impacto, marco temporal, nivel de atención y oportunidades percibidas para 20 riesgos emergentes. Fue realizado en septiembre de 2023 mediante encuestas a 294 ejecutivos sobre de sus puntos de vista sobre los riesgos emergentes que pueden afectar al negocio.
La viabilidad de terceros y la disponibilidad de IA generativa masiva figuran entre los cinco primeros por segundo trimestre consecutivo. Según Xu, "el mantenimiento de la viabilidad de terceros refleja los cambios que se están produciendo en las redes de la cadena de suministro, los efectos inflacionistas desiguales y las continuas presiones laborales que avivan el temor a que los terceros se declaren insolventes". Por su parte, la disponibilidad masiva de IA generativa “preocupa a los líderes de riesgo porque ahora casi todo el mundo tiene fácil acceso a modelos de IA con directrices incipientes (o inexistentes) en vigor".