Argumentos a favor del modelo SASE

Consejos prácticos para conseguir la aprobación de los equipos directivos

¿Cómo puedes convencer a la alta dirección para que inviertan en una nueva estrategia compleja de seguridad?

La respuesta no es sencilla. A pesar de que la seguridad se está convirtiendo en una prioridad para los altos cargos en la mayoría de las organizaciones, a menudo dudan en financiar proyectos de seguridad que requieren importantes recursos y cambios organizativos.

Esta es la difícil situación en la que se encuentran muchos responsables de seguridad cuando planifican la adopción del modelo SASE.

Independientemente de que usen o no el término SASE (perímetro de servicio de acceso seguro), muchos responsables de seguridad ya están abogando dentro de sus organizaciones por las prácticas que exige un modelo de seguridad SASE. Sin embargo, tales prácticas, tales como la adopción de la seguridad Zero Trust, la protección de la navegación de los usuarios por Internet, y la migración de los firewall y la conectividad WAN a la nube requieren financiación y colaboración de toda la organización. Es necesario encontrar y evaluar nuevos proveedores, y redefinir o sustituir los que ya se utilizan. Además, es posible que los empleados de toda la organización tengan que aprender nuevos procesos de seguridad.

Estos requisitos pueden suscitar bastante escepticismo entre los ejecutivos que no se dedican a la seguridad. Algunos pueden creer que las medidas de seguridad con las que ya cuentan ofrecen suficiente protección, de ahí que duden en apoyar cualquier cambio que exija recursos importantes. Otros pueden subestimar la urgencia de SASE y querer retrasar el proyecto.

Los responsables de seguridad competentes saben que deben superar ciertas reticencias para impulsar la adopción de SASE y proteger mejor a su organización. Las siguientes prácticas les ayudarán a convencer a los altos cargos cuando planteen la adopción del modelo SASE:

• Explicar los mayores beneficios que supone la adopción de SASE y describir cómo reduce el riesgo.

• Demostrar el retorno de la inversión de SASE con datos sobre los beneficios financieros de la seguridad Zero Trust y la transformación de la red.

• Presentar medidas concretas, incluido un plan de acción de los cambios que quieres implementar en primer lugar y cómo se producirán.

¿Cómo podría ser este planteamiento en la práctica?

Explicar los mayores beneficios que supone la adopción de SASE

Cualquier conversación a la hora de plantear la adopción de SASE debe incluir, sin duda, las amenazas a la seguridad que puede ayudar a prevenir. Los responsables de seguridad deben ayudar a otros ejecutivos a entender los riesgos que surgen cuando el tráfico de la red corporativa transita por la red pública, y explicar cómo SASE puede ayudar a proteger a la organización de esos riesgos.

Pero aquí no acaba todo. ¿Por qué? Es posible que aunque el equipo directivo crea en los problemas que SASE puede resolver, no confíe en que este modelo sea en sí mismo la respuesta. Cuando se les presentan los numerosos obstáculos logísticos de la adopción de SASE, los directivos pueden preferir confiar en soluciones más simples e inmediatas, pero potencialmente menos efectivas, como ampliar el uso de las VPN y añadir soluciones de seguridad específicas en la nube.

Para que los argumentos de los responsables de seguridad sean más sólidos deben explicar también cómo la adopción de SASE puede contribuir a la consecución de objetivos empresariales más generales. Considera desarrollar los siguientes argumentos:

• Productividad de los usuarios remotos: muchos ejecutivos tienen curiosidad por saber cómo afecta el teletrabajo a la eficiencia general de la organización. Los responsables de seguridad deben ayudarles a entender cómo las herramientas convencionales de seguridad aplicadas al teletrabajo se vuelven poco fiables durante un uso continuado y dilatado en el tiempo, y cómo una solución SASE puede ayudar a resolver este problema. Por ejemplo, describe cómo la eliminación de las VPN reduce la latencia y las interrupciones de la conectividad. O cómo la unificación de los servicios de seguridad de redes en una única plataforma en la nube elimina los retrasos cuando el tráfico "se desvía" a diferentes soluciones de seguridad específicas.

• Incorporación eficaz de proveedores: contratistas y proveedores de servicios externos suelen ser contratados para proyectos urgentes y prioritarios. Sin embargo, como bien saben los responsables de seguridad, la incorporación de estos contratistas puede ser complicada desde el punto de vista informático. (Lo mismo puede ocurrir con empresas recién adquiridas). Ayuda al equipo directivo a entender cómo SASE acelera la incorporación de terceros para que puedan prestar el apoyo necesario a los proyectos, permitiéndoles utilizar sus propios dispositivos y ofreciendo a los equipos informáticos y de seguridad una única plataforma desde la que gestionar y supervisar el acceso a la red.

• Eficiencia del equipo informático: hasta el 62 % de los equipos de TI afirma que no tienen suficiente personal, lo que puede impedir a la organización abordar una serie de proyectos estratégicos. Los responsables de seguridad deben explicar a los ejecutivos cómo SASE puede liberar recursos informáticos una vez que se haya implementado. Por ejemplo, con SASE, los departamentos de informática ya no tendrán que conceder licencias de VPN, llevar a cabo actualizaciones, solucionar problemas de hardware de seguridad de red, o responder a incidencias cuando las herramientas de seguridad remotas interrumpan la experiencia de un sitio web.

Los responsables de seguridad deben buscar enfoques simples en sus planteamientos y atenerse a la regla de "no usar nombres de proveedores ni siglas". Es fácil pasar por alto la jerga que se cuela en las conversaciones sobre estrategias de seguridad. Cada término de moda y nombre de proveedor innecesarios son como un obstáculo que distrae a la audiencia del verdadero contenido del argumento. ("SASE" puede ser la excepción a esta regla, pero aun así hay que definir el término y utilizarlo con moderación).

Demostrar el beneficio económico que supone la adopción de SASE

En la conversación sobre SASE se abordarán inevitablemente los costes financieros de su adopción. Estos costes pueden parecer onerosos a corto plazo, ya que SASE requiere nuevas asociaciones con proveedores y puede exigir nuevas capacidades informáticas.

Para equilibrar la preocupación de los ejecutivos sobre estos costes, los responsables de seguridad deben estar preparados para demostrar que SASE también puede suponer un ahorro a la organización.

Parte de este ahorro puede proceder de la prevención y la mitigación de ataques. Por ejemplo, las prácticas SASE pueden reducir el coste de los ataques para la organización objetivo. Según el informe sobre el coste de una brecha de seguridad en los datos elaborado por IBM, las organizaciones con estrategias de adopción de Zero Trust maduras pagan menos por recuperarse de una fuga de datos. Las organizaciones con un modelo de seguridad Zero Trust consolidado pagan una media de 3,28 millones de dólares por fuga en comparación con los 5,04 millones de dólares que deben desembolsar las organizaciones sin una estrategia de Zero Trust.

Además, los responsables de seguridad pueden reafirmar los beneficios empresariales generales descritos en la sección anterior calculando el ahorro específico que supone simplificar complejos procesos informáticos. Considera enumerar algunos ejemplos de retorno de la inversión como:

• Reducción de las incidencias informáticas. SASE elimina la necesidad de herramientas de acceso remoto específicas como las VPN, que suelen ser poco fiables y causar una alta latencia. Cuando los usuarios no tienen que lidiar con un cliente VPN en su dispositivo, las organizaciones empiezan a experimentar una importante reducción en la cantidad de tiempo que dedican a atender incidencias relacionadas con el acceso. Hay informes que destacan una reducción de hasta un 80 % en el tiempo empleado en solucionar problemas de los usuarios.

• Aceleración de la incorporación de los usuarios. Un ejemplo es la sustitución de los enfoques de acceso remoto heredados, como las VPN y los controles basados en IP. Organizaciones como eTeacher Group informan de que invierten menos tiempo en los procesos de incorporación de nuevos usuarios, reduciendo hasta un 60 % el tiempo que se tarda en conceder acceso a un nuevo usuario.

• Eliminación de costes adicionales de hardware. El hardware de seguridad, como los firewalls de red y las equipos de mitigación de DDoS, siempre conlleva costes no contemplados en el precio de la etiqueta. La instalación, las garantías, las reparaciones y la gestión de las actualizaciones suponen gastos adicionales y requieren recursos informáticos para su gestión. Eliminar esos costes trasladando la seguridad de la red a la nube puede suponer un ahorro adicional.

Por último, SASE puede crear condiciones financieras más favorables a largo plazo al reducir los altos costes de inversión en hardware de red. Los servicios de SASE se prestan íntegramente desde la nube, de ahí que utilicen un modelo estándar de suscripción. Este modelo libera flujo de caja que se puede utilizar para financiar otras inversiones más prioritarias.

Presentar medidas concretas

Ayudar a los ejecutivos a comprender las ventajas empresariales y el impacto financiero de SASE contribuirá en gran medida a convencerlos de su adopción. Pero también querrán entender cómo es la adopción de SASE en la práctica.

Los responsables de seguridad deben estar preparados para responder a esta pregunta con detalle. Para ello, deberán preparar un hipotético plan de adopción de SASE que incluya medidas y plazos específicos, necesidades de recursos y costes estimados. Algunos de estos detalles variarán mucho entre organizaciones. Sin embargo, puedes contemplar los "primeros pasos" que te mostramos a continuación como punto de partida:

1. Eliminación gradual de la VPN para otorgar acceso a terceros: ofrece a los consultores y empleados por contrata un servicio de autenticación moderno que les permita iniciar sesión en las aplicaciones con cuentas existentes o con contraseñas de un solo uso. Además de simplificar los procesos de incorporación, esta práctica evita que terceros accedan a la red con carta blanca tal y como permiten las VPN.

2. Adopción de una postura Zero Trust para garantizar la seguridad en el teletrabajo: utiliza un servicio de gestión de autenticación y acceso que respete el enfoque "nunca confíes, siempre verifica". Comprueba las identidades de los usuarios remotos cada vez que acceden a una aplicación y haz un seguimiento de todas sus solicitudes. Este enfoque te permite controlar mejor a un grupo de usuarios de alto riesgo.

3. Eliminación de la VPN para el acceso remoto: al igual que en el primer paso, ofrece a los usuarios remotos un servicio de autenticación moderno, como el inicio de sesión único (SSO). Esta medida dificulta el movimiento lateral de los atacantes que usan dispositivos o credenciales de VPN en riesgo.

4. Consolidación de las herramientas de seguridad Zero Trust a medida que se renueven los contratos: rara vez es posible sustituir de una vez las actuales puertas de enlace web seguras, las herramientas de aislamiento del navegador y los agentes de seguridad de acceso a la nube. Cuando expiren los contratos, añade esos servicios a una única plataforma SASE y aprovecha la eficiencia que supone la gestión desde un solo lugar.

5. Implementación de una postura de seguridad Zero Trust en los centros de trabajo: exige a los usuarios que se autentiquen a través de la plataforma Zero Trust incluso cuando estén dentro de un perímetro de red tradicional. Esta práctica ayudará a evitar la pérdida de datos, protegerá a los empleados de las amenazas en la red pública e impedirá el movimiento lateral de los atacantes.

Enseña las prioridades en materia de seguridad a largo plazo

La seguridad no es un trabajo exclusivo de los equipos que se encargan de velar por ella. Cuanto más invierta la cúpula directiva en proyectos de seguridad, más segura estará toda la organización.

SASE, y los profundos cambios sociales que lo hacen necesario, es una excelente oportunidad para que los responsables de seguridad fomenten esta inversión. Vincular SASE a los beneficios empresariales más generales, demostrar la rentabilidad de la inversión y establecer un plan de acción concreto no es fácil, y no se conseguirá solo con conversaciones puntuales. Sin embargo, si los responsables de seguridad son coherentes y confían en la aplicación de estas prácticas recomendadas, sensibilizarán sobre la importancia de la seguridad, lo que les beneficiará tanto a ellos como a sus equipos en el futuro.

Además, te invitamos a realizar un recorrido por nuestra plataforma Cloudflare One para que puedes descubrir nuestras soluciones SASE y Zero Trust. Esta plataforma agrupa los controles de seguridad basados en la identidad, el firewall, la red WAN como servicio y otras funciones de SASE en una red unificada que está cerca de los usuarios independientemente de donde se encuentren, permitiéndoles conectarse de forma rápida y segura a cualquier recurso empresarial. Todos estos servicios se han desarrollado desde cero para funcionar en conjunto desde el primer momento, con el objetivo de ayudar a los equipos de seguridad a simplificar la adopción de la arquitectura SASE.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Por qué los argumentos para convencer a los equipos directivos sobre la adopción de SASE requieren un planteamiento único

• Las estrategias para describir los beneficios de SASE a equipos que carecen de conocimientos técnicos

• Las medidas idóneas para comenzar a implementar SASE

Recursos relacionados

• Introducción a SASE: Guía para proteger y optimizar tu infraestructura de red

• Infografía: Rentabilidad de Zero Trust

• Documento técnico: El fin del hardware y el surgimiento de la nube

• Forrester Opportunity Snapshot: Zero Trust