cerrar
cerrar
Su red del mañana
Su red del mañana
Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.
          Descubra Netskope
          Get Hands-on With the Netskope Platform
          Here's your chance to experience the Netskope One single-cloud platform first-hand. Sign up for self-paced, hands-on labs, join us for monthly live product demos, take a free test drive of Netskope Private Access, or join us for a live, instructor-led workshops.
            Líder en SSE. Ahora es líder en SASE de un solo proveedor.
            Líder en SSE. Ahora es líder en SASE de un solo proveedor.
            Netskope debuta como Líder en el Cuadrante Mágico™ de Gartner® para Single-Vendor SASE
              Protección de la IA generativa para principiantes
              Protección de la IA generativa para principiantes
              Learn how your organization can balance the innovative potential of generative AI with robust data security practices.
                Modern data loss prevention (DLP) for Dummies eBook
                Prevención moderna de pérdida de datos (DLP) para Dummies
                Get tips and tricks for transitioning to a cloud-delivered DLP.
                  Libro SD-WAN moderno para principiantes de SASE
                  Modern SD-WAN for SASE Dummies
                  Deje de ponerse al día con su arquitectura de red
                    Entendiendo dónde está el riesgo
                    Advanced Analytics transforms the way security operations teams apply data-driven insights to implement better policies. With Advanced Analytics, you can identify trends, zero in on areas of concern and use the data to take action.
                        Los 6 casos de uso más convincentes para el reemplazo completo de VPN heredada
                        Los 6 casos de uso más convincentes para el reemplazo completo de VPN heredada
                        Netskope One Private Access is the only solution that allows you to retire your VPN for good.
                          Colgate-Palmolive Salvaguarda su "Propiedad Intelectual" con Protección de Datos Inteligente y Adaptable
                          Colgate-Palmolive Salvaguarda su "Propiedad Intelectual" con Protección de Datos Inteligente y Adaptable
                            Netskope GovCloud
                            Netskope logra la alta autorización FedRAMP
                            Elija Netskope GovCloud para acelerar la transformación de su agencia.
                              Let's Do Great Things Together
                              La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.
                                Soluciones Netskope
                                Netskope Cloud Exchange
                                Netskope Cloud Exchange (CE) provides customers with powerful integration tools to leverage investments across their security posture.
                                  Soporte técnico Netskope
                                  Soporte técnico Netskope
                                  Nuestros ingenieros de soporte cualificados ubicados en todo el mundo y con distintos ámbitos de conocimiento sobre seguridad en la nube, redes, virtualización, entrega de contenidos y desarrollo de software, garantizan una asistencia técnica de calidad en todo momento
                                    Vídeo de Netskope
                                    Netskope Training
                                    La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube. Estamos aquí para ayudarle a proteger su proceso de transformación digital y aprovechar al máximo sus aplicaciones cloud, web y privadas.

                                      Los aspectos económicos de la Transformación de las Redes y la Seguridad - Parte 3

                                      28 de julio de 2020

                                      Coautor(a): Neil Thacker y Nathan Smolenski

                                      Es muy necesaria una revisión del marco y la estrategia para gestionar la transformación de las redes y la seguridad. Cada CIO, CISO y CTO está hoy evaluando sus costos actuales para ejecutar y operar un plan de proyecto fiable para las redes y la seguridad para el año 2021 y más allá. En las partes 1 y 2 de esta serie de tres partes, expliqué qué números deben alimentar estos cálculos y mediciones y cómo el rendimiento, la flexibilidad y la escalabilidad son claves para esta transformación. Ahora estamos en una etapa crítica para decidir cómo serán nuestros programas y proyectos para nuestras redes y seguridad en un futuro próximo... y sólo tenemos una oportunidad para hacerlo bien.

                                      Impulsar el crecimiento de los ingresos brutos mientras se mejora el balance final aumentando la eficiencia de los costos operativos

                                      Pregunte a un consejo de administración cuál es su objetivo final para la transformación digital, le dirán que es mejorar el crecimiento de los ingresos brutos mientras se aplica la eficiencia en los costos operativos para mantener un resultado final saludable. La transformación conlleva nuevos costos, pero a medida que los equipos de proyecto adquieren más experiencia en la transformación digital, también se consigue más eficiencia económica. 

                                      Este mismo enfoque se aplica a la transformación de las redes y la seguridad. Ahora tenemos organizaciones que han seguido los mismos principios de diseño y han trasladado, o están trasladando, sus controles y tecnologías de seguridad a la nube. Estos conjuntos de habilidades están muy solicitados a medida que más y más organizaciones se dan cuenta del valor de esta transformación. Este movimiento también permite a la organización simplificar sus proyecciones presupuestarias y centrarse en la gestión de los gastos reduciendo sus impredecibles gastos de CAPEX y pasando a un modelo OPEX predecible basado en suscripciones que ayuda a la eficiencia de los costes operativos. Comentaré más sobre esto más adelante. En resumen, una situación en la que todos ganan. No sólo es más sencillo de predecir, sino que a medida que la seguridad se convierte en un sector basado en los servicios, sustentará la reducción de costos y permitirá oportunidades adicionales de consolidación.  

                                      Ya han pasado los días en que se enrutaba el tráfico a través de la Internet pública y a través de infinidad de equipamientos de seguridad, todos intentando inspeccionar y decodificar el tráfico, mientras que el departamento de redes y el de seguridad necesitan realizar revisiones regulares de cada equipamiento para evaluar el ROI/TCO y haciendo la pregunta obvia: "¿Seguimos necesitando esto? y ¿hay una opción mejor?" Hoy en día, todas las organizaciones tienen la oportunidad de utilizar microservicios basados en la nube cuando surgen las necesidades sin necesidad de costosas revisiones de diseño y arquitectura. Pensando en esto como una analogía, es similar a reservar un viaje internacional y utilizar una docena de aerolíneas y aeropuertos para llegar a su destino. Cada conexión de vuelo requiere otro control de seguridad donde usted y su equipaje deben ser escaneados. Ahora piense en todo lo que le costará esto. Si se le da a elegir, todo el mundo elegirá una opción directa económica con la misma o mejor seguridad aplicada bajo demanda. Esto es de lo que debería tratar la transformación de las redes y la seguridad, algo simple, rápido y seguro, sin retrasos innecesarios.

                                      Flexibilidad fuera de los límites de TI

                                      A medida que transformamos nuestras redes y la seguridad y trasladamos nuestros controles de seguridad a la nube, debemos evaluar cómo planteamos nuestras previsiones y presupuestos. La seguridad de un usuario (prefiero referirme a los usuarios como empleados) en nuestro entorno es un gasto que habitualmente se analiza para cada año fiscal. Si tenemos 20.000 empleados, es obvio que será más caro y requerirá más recursos que para proteger a 2.000 empleados. El problema con las organizaciones es que no pueden predecir con exactitud cómo será el recuento de sus empleados en los próximos 3-5 años. El reto son las fusiones y adquisiciones (M&A), un elemento de cambio que se produce en la mayoría de las organizaciones y que zarandeará cualquier estrategia de seguridad y de TI. Con las fusiones y adquisiciones, predecir los costos de la incorporación de la nueva plantilla suele implicar pensar en un nuevo hardware o incluso en la sustitución de hardware para adaptarlo a los nuevos requisitos de la organización. Este tipo de retos pueden llevar meses de planificación y puesta en marcha, y normalmente ralentizarán a una organización en un momento crítico. Sin embargo, a medida que las organizaciones adoptan y utilizan la nube, podemos utilizar sistemáticamente los flexibles beneficios de la nube para escalar cuando sea necesario, sin compromisos. Añadir otros 5.000 empleados a una Gateway de Seguridad de Nueva Generación (NG SWG) basada en la nube es tan simple como actualizar la licencia. No hay hardware nuevo, no hay que enviar hardware a nuevas ubicaciones, no hay que poner racks y apilar equipamientos, ni conseguir espacio en los armarios. Esta flexibilidad, fuera de los límites de TI, no debe ser subestimada.

                                      Como ya hemos superado algunos de los desafíos más difíciles del pasado y simplificado la incorporación de nuevos empleados, tenemos que pensar en otras oportunidades para consolidarnos. Creo que todos podemos estar de acuerdo en que la organización media ha adquirido muchas tecnologías y soluciones a lo largo de los años que están listas para ser reemplazadas en un mundo donde la prioridad es la nube. La primera afirmación que escucho de la mayoría de los CISOs cuando se habla de la transformación de la seguridad es: "Necesito consolidarme". La consolidación de las tecnologías no es una tarea fácil, pero puede facilitarse utilizando conceptos como el de Secure Access Service Edge (SASE) para identificar qué capacidades clave se requieren para apoyar el futuro ecosistema de la organización. Un elemento básico de la futura arquitectura de la mayoría de las organizaciones es hacer foco en lo siguiente, idealmente en el menor número de plataformas posible con integraciones basadas en API y una red global rápida y eficiente para proporcionar acceso a las aplicaciones e infraestructuras corporativas.

                                      • Gestión de Identidades y Accesos & Acceso de confianza cero a la Red (IAM & ZTNA)
                                      • Gateway de Seguridad Web e Gateway de Acceso Seguro a la Nube (SWG y CASB)
                                      • Protección de datos (Clasificación de datos y DLP)
                                      • Protección contra amenazas (Anti-Malware, Sandboxing, Aislamiento de navegadores)
                                      • Protección del punto final (NG-AV, EDR)
                                      • Automatización y Orquestación (SIEM & SOAR)

                                      Al evaluar la reducción de costos y este nuevo modelo conceptual, debemos seguir asegurándonos de que vemos el valor, el beneficio y la reducción general de riesgos para nuestras organizaciones, al tiempo que proporcionamos la mejor conectividad y flexibilidad a nuestra plantilla. Después de todo, un presupuesto de seguridad siempre debe ser el adecuado según el apetito de riesgo de la organización.

                                      Valor para el negocio, beneficios y reducción de riesgos

                                      Al examinar el valor, los beneficios y, en última instancia, las oportunidades de reducción del riesgo y la eficacia de un mejor control, a menudo es difícil llegar a un cálculo realista del valor que está en juego. Hay distintas variantes para evaluar tales situaciones frente al riesgo y ciertamente hay muchos debates alrededor de este tema. Bruce Schneier escribió un gran artículo sobre este mismo tema para CSO en septiembre de 2008 que ha envejecido relativamente bien. En lo que respecta al enfoque tradicional de poner un valor en dólares al riesgo, afirma: "La metodología clásica se llama expectativa de pérdida anual (ALE), y es sencilla. Calcula el costo de un incidente de seguridad tanto en tangibles, como el tiempo y el dinero, e intangibles, como la reputación y la ventaja competitiva. Multiplique eso por la probabilidad de que el incidente ocurra en un año. Eso te dice cuánto debes gastar para mitigar el riesgo". 

                                      Este enfoque de "probabilidad x impacto" ha sido el método que todos hemos tratado de aplicar de un modo, forma o manera, para obtener alguna semblanza de un indicador financiero del costo de los riesgos que hemos identificado y estamos tratando de gestionar. El problema, como también señala Bruce, es que los resultados de estos cálculos van esencialmente en contra nuestra cuando hablamos con los dirigentes empresariales, y se ven empañados por la falta de buenos datos para las variables de entrada. 

                                      Por ejemplo, si el costo calculado de un riesgo determinado es de 40.000 dólares anuales y el costo total de propiedad de las personas, los procesos y la tecnología que intentan gestionar mejor o reducir ese riesgo es de 65.000 dólares anuales, imagínese lo que el Director Financiero va a querer saber. ¿Cuán precisos son nuestros datos sobre los factores que entran en la medición del impacto (pérdida real, reputación, etc.) y cuán precisos son nuestros datos para determinar la probabilidad real? E, incluso si todos estamos de acuerdo con estas cifras, la forma en que el Director Financiero interpreta y en última instancia decide permitirle invertir, puede obviamente ser influenciada por estos, y muchos otros factores. Al hablar con muchas personas del sector, así como por mi propia experiencia como profesional, tenemos a menudo el reto de cerrar la brecha en la comprensión. Si no se comprenden financieramente los verdaderos niveles de tolerancia al riesgo de la organización, se podría estar librando una difícil batalla. 

                                      Cuando reflexionamos sobre la gestión de riesgos es fundamental determinar cuán eficazmente se gestionan los riesgos. Desde la perspectiva de la ciberseguridad, a menudo veremos a las organizaciones alinear las políticas y los controles con marcos estandarizados que a menudo son auditados por terceros anualmente para determinar la madurez, la alineación y el progreso general. Los departamentos de seguridad se ven entonces obligados a priorizar reactivamente muchos de sus esfuerzos después de la evaluación para abordar las conclusiones. 

                                      Desde la perspectiva de la gestión de riesgos, cuando una organización progresa en términos de riesgo, entonces se convierte puramente en un producto de los esfuerzos realizados para responder a las conclusiones de la evaluación. Los marcos de Valor en Riesgo como FAIR (Análisis Factorial del Riesgo de la Información) llaman a este enfoque un Método Implícito de gestión de riesgos debido a su naturaleza reactiva y a la falta de un circuito de retroalimentación consistente. El resultado suele ser un menor control del resultado de la gestión de riesgos desde la perspectiva de la exposición a las pérdidas, ya que los elementos de probabilidad y de impacto no se incluyen de forma nativa en los marcos. En cambio, una postura proactiva de gestión de riesgos tiene un objetivo de riesgo muy explícito que se gestiona constantemente como resultado de la valoración y las aportaciones al proceso de gestión de riesgos. 

                                      Al evaluar la eficiencia de los costos operacionales, la flexibilidad, la reducción de costos, el valor para el negocio y una mejor gestión de riesgos como práctica, nos proponemos trabajar dentro de un modelo que informe y apoye continuamente los ajustes proactivos de nuestros controles para abordar un panorama cambiante de costos, beneficios para el negocio y riesgos.

                                      author image
                                      Neil Thacker
                                      Neil Thacker es un veterano profesional de la seguridad de la información y un experto en protección de datos y privacidad muy versado en el RGPD de la Unión Europea.
                                      Neil Thacker es un veterano profesional de la seguridad de la información y un experto en protección de datos y privacidad muy versado en el RGPD de la Unión Europea.

                                      ¡Mantente informado!

                                      Suscríbase para recibir lo último del blog de Netskope