[15/06/2022] El secure access service edge (SASE) ha generado un gran revuelo en los últimos años, particularmente a la luz de la pandemia y su aumento asociado de empleados remotos. Pero SASE no se ha materializado del todo de la forma en que Gartner -que, en un documento técnico del 2019, acuñó el término por primera vez- esperaba inicialmente. En particular, ha habido rechazo en torno a la idea de que SASE debe ser entregado por un solo proveedor, como un único servicio de nube integrado en el borde de la red.
El modelo SASE combina funciones de seguridad de red con capacidades WAN, entregando los elementos de seguridad en la nube y usando SD-WAN en el borde o en la nube. Las funciones clave de seguridad incluyen puerta de enlace web segura (SWG, por sus siglas en inglés), acceso a la red de confianza cero (ZTNA, por sus siglas en inglés), firewall como servicio (FWaaS, por sus siglas en inglés) y agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés).
Algunos proveedores en el mercado SASE, como Cato Networks y Versa Networks, afirman ofrecer la versión más cercana de un modelo de un solo proveedor y una sola plataforma. Esa es la visión purista de SASE. Otros proveedores comercializan lo que hacen como SASE, pero a la vez se basan en alianzas, adquieren empresas y desarrollan componentes de solución separados que juntos crean una oferta de portafolio de stack completo.
Últimamente, sin embargo, ha habido un cambio en la forma de pensar sobre cómo agrupar la seguridad y las redes.
El propio Gartner ha sido fundamental en la reversión de la idea de SASE al paquete menos amplio de borde de servicio seguro (SSE, por sus siglas en inglés), que incluyen CASB, SWG y ZTNA. Gartner presentó la opción de agrupación de SSE en su 2021 Strategic Roadmap for SASE Convergence.
SSE es básicamente la parte de seguridad de los servicios combinados de seguridad y red que se suponía que debían ser atendidos simultáneamente bajo el modelo SASE. La reversión de Gartner a SSE es realmente solo reconocer lo que está sucediendo en el mercado, y quizás dar un poco más de credibilidad al valor de un enfoque de "lo mejor en su clase”.
Veo la SSE como la aceptación de las fuerzas del mercado y el reconocimiento de que existe una complejidad significativa al tratar de brindar una variedad de servicios diferentes, de manera integrada, cuando las necesidades cambian continuamente. No todos los proveedores quieren o pueden ofrecer la visión idealizada de SASE. Y eso está bien. Realmente no importa.
Existe un valor inmenso en ayudar a todos a conceptualizar los componentes de un ambiente creíble de red y seguridad para brindar servicios más sólidos y de mejor calidad mientras protege su negocio; felicitaciones a Gartner aquí. Pero la velocidad a la que los proveedores están adoptando SSE indica lo lejos que estaban muchos proveedores del verdadero SASE. También ilustra que intentar darle forma a una industria con un modelo conceptual es, en el mejor de los casos, ambicioso y, en el peor, puede generar exageraciones fuera de lugar.
Elegir lo que funcionará mejor para su empresa es más fácil de decir que de hacer. Uno de los desafíos en el campo de SASE/SSE es que las soluciones pueden proporcionar diferencias sutiles o no tan sutiles en lo que ofrecen. Es fundamental realizar un análisis técnico y de negocio sólido si intenta determinar el conjunto de capacidades más apropiado disponible para obtener el mejor precio con la menor cantidad posible de sorpresas desagradables o riesgos de costos.
Para ayudarle a comenzar, le ofrecemos cinco cuestiones a considerar:
1. Comprender las licencias, qué capacidades están incluidas o excluidas y la base de pago es fundamental. Por ejemplo, ¿a qué período se compromete? ¿Qué tipo de flexibilidad existe para los cambios de volumen (como el número de usuarios)? Además, a diferencia del hardware que podría haber comprado en el pasado, está mucho más expuesto a variaciones y aumentos de precios con el software. Es importante que tenga en cuenta los costos de las licencias cuando examine los planes y negocie con los proveedores, así como cuando realice evaluaciones comparativas de proveedores.
2. ¿Cuál es el nivel de flexibilidad contractual? O, quizás más importante, ¿cuáles son las restricciones contractuales clave que podrían perjudicar a su empresa? Asegúrese de considerar los escenarios hipotéticos relacionados con los componentes clave del acuerdo y los términos y condiciones. Por ejemplo: ¿Cómo funcionarán los compromisos? ¿Qué revisión de precios está integrada? ¿Qué sucede si mi demanda cambia drásticamente? ¿Qué hacemos si el rendimiento no está a la altura de la facturación? Un buen asesor legal, con conocimientos en este campo, puede ser invaluable; no hay sustituto para una revisión legal, de negocio, de servicio y técnica rigurosa para ayudar a garantizar que usted cumpla con las mejores prácticas en sus arreglos. Al mismo tiempo, usted también debe ser práctico en sus aspiraciones. Por ejemplo, solicitar límites de responsabilidad -que ningún proveedor aceptaría sensatamente en este mundo de amenazas de seguridad en constante cambio- es un ejemplo clásico que puede retrasar innecesariamente el cierre del contrato.
3. Los plazos de implementación y las obligaciones de los proveedores a menudo se pasan por alto o, al menos, no se consideran a fondo. Esto puede ser un verdadero problema para los inexpertos. Si se subestima el tiempo, el costo y el alcance de las actividades para implementar su solución, usted experimentará dificultades para explicarles a los ejecutivos por qué no está dentro del tiempo y presupuesto estipulados para el proyecto. Peor aún, podría dejar su empresa expuesta a desafíos de seguridad y servicio. Trabajar a través de las obligaciones del proveedor y el proceso de implementación, los complementos y los componentes opcionales, puede ahorrarle mucha ansiedad, e incluso conflictos en la relación, a medida que se implementan las soluciones. Es mejor si incluye activamente los detalles de implementación desde el principio, comenzando con la solicitud de propuesta (RFP, por sus siglas en inglés) o cualquier trabajo de solicitud de información (RFI, por sus siglas en inglés).
4. Los acuerdos de administración y soporte del día 2 deben ser la prioridad, desde el comienzo, en cualquier adquisición. Es esencial una declaración de trabajo (SOW, por sus siglas en inglés) bien construida si desea evitar dolorosas brechas (también costosas o que impactan en el servicio) de propiedad o alcance. Esto debe incluir gastos generales y mecanismos para establecer compromisos y responsabilidades inequívocas, tanto para la empresa como para el proveedor. Nuevamente, establecer lo que se requiere al comienzo del esfuerzo de provisión es la base para obtener los resultados de SOW que necesita. Se trata entonces del arduo trabajo necesario para traducir los requerimientos en los compromisos documentados del proveedor a medida que avanza en el proceso. Pruebe los compromisos, comprenda las brechas, negocie las deficiencias y luego documente los resultados.
5. Evaluar las necesidades del negocio frente a las capacidades técnicas/de solución es la base de todo lo demás. Tener a todas las partes involucradas en la validación de los requerimientos del proyecto puede ser extremadamente beneficioso. La participación temprana de los consumidores finales (usuarios de negocio) en el proceso de adquisición es importante. Puede aportar ideas útiles, ayudar a centrar las prioridades y, como mínimo, promoverá una mayor conciencia del viaje que se está emprendiendo. Sin embargo, no siempre es fácil lograr el equilibrio adecuado de compromiso con las diferentes partes interesadas. Trate de encontrar partes interesadas que participen de manera correcta. Si el diálogo es de un nivel demasiado alto, puede conducir a ideas ejecutivas de "helicóptero”, que no necesariamente se traducen en contribuciones prácticas. Incluir demasiado a nivel de trabajo, o con demasiadas partes interesadas, puede generar inercia debido a un análisis excesivo o distracciones. No hay una respuesta fácil. Usted tiene que encontrar un equilibrio: por lo general, un grupo central de especialistas, con partes interesadas seleccionadas en varios niveles, es el enfoque más exitoso. Una buena recomendación es determinar a qué nivel de esfuerzo pueden comprometerse todos los involucrados (generalmente es menor al nivel ideal) y planificar en consecuencia para que pueda priorizar lo que es importante.
Buena suerte.
Basado en el artículo de Mark Sheard (Network World) y editado por CIO Perú
Mark Sheard es director gerente de TC2 (Reino Unido), con sede en Londres, pero trabaja a nivel mundial. Mark es parte de TechCaliber Consulting, LLC, una consultora global de TI y telecomunicaciones con sede en Washington, DC, que asesora a las empresas más grandes del mundo sobre estrategias de transformación para reducir sus costos de productos y servicios de telecomunicaciones y TI.
Puede ver también: