Asumir una posición innovadora nunca es un acto sencillo, especialmente en el campo de las tecnologías de la información (TI). Cuando una organización decide adoptar una innovación, por lo general reconoce que está asumiendo ciertos desafíos, tales como realizar nuevas inversiones, encontrar el capital humano adecuado o asegurar la interoperabilidad con la infraestructura de TI existente.

No obstante, un ímpetu de pionero también puede incluir una sorpresa nada agradable: recibir “gato por liebre”, es decir, obtener la tecnología disruptiva (o suponer que se consigue), pero no las capacidades y los resultados excepcionales que prometían analistas, white papers, fabricantes, conferenciantes y prensa especializada.

En la esfera de la ciberseguridad, algo así está ocurriendo con el concepto SASE (secure access service edge), un modelo de protección digital muy joven –la consultora global Gartner lo comentó a mediados de 2019– que está recibiendo un sólido respaldo en el mercado y la industria de tecnología. Incluso, Gartner estima que, para 2024, 40% de las empresas ya habrá implementado estrategias de SASE.  

Como era de esperar, los proveedores de soluciones y servicios de ciberseguridad han reaccionado a la tendencia y, por ello, las organizaciones hoy no tienen dificultades para encontrar múltiples productos u ofertas SASE (o “listos para SASE”; SASE ready), de fabricantes consolidados o startups de distintas zonas del mundo.

Aun así, el auge de esta innovación debe tomarse con mesura. Incluso Gartner recomienda que los líderes técnicos de las empresas (directores de ciberseguridad, sistemas, redes o infraestructura de TI) , antes de arrancar cualquier proceso de adopción, analicen a fondo las herramientas o plataformas SASE disponibles en el mercado, dado que muchas de ellas –al final del día– no entregarán los beneficios reales de este modelo de protección digital. Como lo ha sugerido Gartner, muchas ofertas SASE están más sustentadas en la mercadotecnia y en espectaculares presentaciones de PowerPoint, que en un conocimiento real de la tecnología.

Para detectar una solución SASE verdadera, legítima desde el punto de vista tecnológico y conceptual, se pueden seguir varios caminos. Uno de ellos implica plantear tres cuestiones fundamentales; si realmente domina el ámbito SASE, un proveedor no tendrá problemas para abordarlas con precisión y contundencia.

Los datos: la esencia y el objetivo

Si nos apegamos a las definiciones más divulgadas del concepto, SASE es una arquitectura de ciberseguridad nativa de la nube, en la que se unifican los servicios de conectividad WAN (red de área amplia) y las funciones avanzadas de protección (que se proveen como un servicio desde la nube).

Como pilar de este modelo, se encontrará una visión ya incontrovertible: en la actualidad, la información empresarial no solo se mueve por el interior de la organización dentro del perímetro que marca el tamaño de la red de la compañía, sino que viaja por diversos lugares (sucursales, hogar, cafetería, hotel, aeropuerto), aplicaciones (públicas, corporativas, de asociados), dispositivos (computadora, tableta, teléfono inteligente, sistema portátil) y tipos de usuarios. Todo ello, derivado del incremento en el uso de soluciones corporativas basadas en la nube.

Por eso, la premisa de SASE es proteger los datos en todo momento y en cualquier lugar; y para que esta capacidad no afecte el rendimiento de las aplicaciones ni la productividad de los usuarios, el modelo incluye capacidades para visualizar y entender el contexto de la información (¿quién está usando los datos?, ¿desde qué lugar y con qué dispositivo se está conectando?, ¿qué información está manipulando y hacia qué instancias está trasladándola?, etc.), lo que permite aplicar los controles de seguridad que corresponden a cada situación particular.

En ese sentido, un proveedor de SASE siempre se referirá a un perímetro de conectividad totalmente transformado, en donde la ciberseguridad de la empresa debe enfocarse en los datos (data-centric) y no en el hardware de protección que se pueda añadir a la red corporativa. En buena medida, un experto en este tema habla de datos y circunstancias de uso, y no de equipos.

Infraestructura: un elemento diferenciador

Para acompañar a los datos en cualquier lugar, algunos proveedores de SASE, los que están realmente comprometidos con el modelo, no se limitarán a entregar funciones innovadoras de ciberseguridad. También ofrecerán una infraestructura de red propia, con Puntos de Presencia (POP, por sus siglas en inglés) reales –y no POP virtuales– distribuidos en varias regiones del planeta, que perseguirá dos objetivos principales: estar cerca de las operaciones de sus clientes y evitar que el Internet público,  inestable e impredecible, afecte la calidad y el desempeño de su servicio de protección basado en la nube.

Cuando no se cuenta con dicha infraestructura privada, las capacidades de ciberseguridad no se proporcionan en verdadero tiempo real y los dispositivos, las aplicaciones y los servicios cloud que aprovechan los usuarios son impactados por problemas de latencia, ya que los datos deben pasar por un lejano centro de datos donde están instaladas las tecnologías de protección digital (el llamado security stack). En este contexto, una red de seguridad propia garantiza un acompañamiento eficiente y que no pone en riesgo la productividad de la organización.

Este factor de infraestructura física también resulta útil en otro sentido: definir la categoría de un proveedor de soluciones SASE. En primer término, construir una red de ciberseguridad privada involucra una gran inversión financiera, un reto que muy pocas compañías podrían –o querrían– asumir. Por otro lado, también desenmascara a ciertos fabricantes, por ejemplo, a aquellos que dicen tener una infraestructura propia y en realidad tienen otra cosa: rentan espacio en el centro de datos de un tercero, donde analizan el tráfico de sus clientes en uno de sus equipos, o bien, desde ahí lo redirigen a centros foráneos para ser procesado; opciones que pueden ser razonables pero que no representan un enfoque SASE pleno.

Integración y no una galería de tecnologías

Una solución SASE incluye diversas tecnologías de protección digital: gateway Web seguro (SWG, por sus siglas en inglés), bróker de seguridad para acceso cloud (CASB, por sus siglas en inglés), prevención de pérdida de datos (DLP, por sus siglas en inglés), protección avanzada contra amenazas (DLP) y acceso remoto seguro basado en zero trust (ZTNA, por sus siglas en inglés).

Dichas tecnologías pueden adquirirse como productos independientes e integrarse en una misma plataforma. Y aquí radica uno de los factores que más puede confundir a las organizaciones que buscan una solución SASE real. En un modelo SASE legítimo, las distintas herramientas de protección están integradas de origen y optimizadas para funcionar en forma coordinada, con el fin de garantizar su operación eficiente y fácil administración.

En este punto, el aspecto clave es analizar la integración, origen y nivel, de las soluciones que se autodefinen como SASE. En la mayoría de ellas, la unificación de tecnologías no es de fábrica, sino que se ha conseguido, principalmente, a través de adquisiciones de distintos fabricantes. Este recurso solo genera plataformas de ciberseguridad que se sustentan en bloques tecnológicos esencialmente “pegados” entre sí; un hecho que, en materia de protección digital, representa varias dificultades: gestión complicada, una visión fragmentada del estatus de seguridad de la empresa, incidentes que detonan una alarma en un componente y que otro pasa por alto, entre otras.

Por eso, frente a un proveedor de SASE nunca estarán de sobra algunas preguntas: ¿las diferentes innovaciones de su solución están integradas de origen?, ¿han recurrido a adquisiciones para sumar tecnologías a su plataforma?, ¿cómo añaden capacidades a su producto?, ¿existe una sola consola de gestión unificada?

Apostar por la innovación es una actitud que siempre beneficiará a las empresas. Para no caer en la trampa de vanguardias tecnológicas artificiales la mejor opción es buscar información en fuentes confiables, compartir experiencias con colegas y, sobre todo, cuestionar incansablemente a los proveedores (para probar la solvencia de su expertise). Sin estas referencias de apoyo distinguir a la liebre del gato nunca será una labor sencilla.

 

[email protected]