Netskope named a Leader in the 2022 Gartner® Magic Quadrant™ for Security Service Edge. Get the Report.

  • Plataforma

    Visibilidad inigualable y protección contra amenazas y datos en tiempo real en la nube privada de seguridad más grande del mundo.

  • Productos

    Los productos de Netskope se basan en Netskope Security Cloud.

Netskope ofrece una estrategia de seguridad cloud moderna, con capacidades unificadas para los datos y protección frente a amenazas, además de un acceso privado seguro.

Explora nuestra plataforma

Netskope ha sido nombrado Líder en el Informe del Cuadrante Mágico de Gartner™ 2022 en SSE

Obtenga el informe

Cambie a los servicios de seguridad en la nube líderes del mercado con una latencia mínima y una alta fiabilidad.

Más información

Prevenga las amenazas que a menudo eluden otras soluciones de seguridad utilizando un marco SSE de un solo paso.

Más información

Soluciones de confianza cero para implementaciones de SSE y SASE

Más información

Netskope hace posible un proceso seguro, rápido y con inteligencia cloud para la adopción de los servicios en la nube, las aplicaciones y la infraestructura de nube pública.

Más información
  • Satisfacción de los Clientes

    Asegure su viaje de transformación digital y aproveche al máximo sus aplicaciones en la nube, web y privadas.

  • Soporte al cliente

    Compromiso y soporte proactivo para optimizar su entorno de Netskope y acelerar su éxito.

Confíe en Netskope para que le ayude a hacer frente a las amenazas en evolución, a los nuevos riesgos, a los cambios tecnológicos, a los cambios organizativos y de red, y a los nuevos requisitos normativos.

Más información

Tenemos ingenieros cualificados en todo el mundo, con distintos ámbitos de conocimiento sobre seguridad en la nube, redes, virtualización, entrega de contenidos y desarrollo de software, listos para ofrecerle asistencia técnica de calidad en todo momento.

Más información
  • Recursos

    Obtenga más información sobre cómo Netskope puede ayudarle a proteger su viaje hacia la nube.

  • Blog

    Descubra cómo Netskope permite la transformación de la seguridad y las redes a través del servicio de seguridad (SSE).

  • Eventos & Workshops

    Manténgase a la vanguardia de las últimas tendencias de seguridad y conéctese con sus pares.

  • Security Defined

    Todo lo que necesitas saber en nuestra enciclopedia de ciberseguridad.

Podcast Security Visionaries

Episodio extra: La importancia de Security Service Edge (SSE)

Reproducir el pódcast

Lea lo último sobre cómo Netskope puede hacer posible el viaje de confianza cero y SASE a través de las capacidades de SSE.

Lea el blog

Netskope en RSA 2022

Conozca y hable con los especialistas en seguridad de Netskope en RSA.

Más información

¿Qué es Security Service Edge (SSE)?

Explore el lado de la seguridad de SASE, el futuro de la red y la protección en la nube.

Más información
  • Empresa

    Le ayudamos a mantenerse a la vanguardia de los desafíos de seguridad de la nube, los datos y la red.

  • Por qué Netskope

    La transformación de la nube y el trabajo desde cualquier lugar han cambiado la forma en que debe funcionar la seguridad.

  • Liderazgo

    Nuestro equipo de liderazgo está firmemente comprometido a hacer todo lo necesario para que nuestros clientes tengan éxito.

  • Partners

    Nos asociamos con líderes en seguridad para ayudarlo a asegurar su viaje a la nube.

Netskope posibilita el futuro del trabajo.

Descubra más

Netskope está redefiniendo la seguridad de la nube, los datos y la red para ayudar a las organizaciones a aplicar los principios de Zero Trust para proteger los datos.

Más información

Pensadores, constructores, soñadores, innovadores. Juntos, ofrecemos soluciones de seguridad en la nube de vanguardia para ayudar a nuestros clientes a proteger sus datos y usuarios.

Conozca a nuestro equipo

La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.

Más información
Blog CSO, Full Skope, Secure Access Service Edge The Economics of Network & Security Transformation – Part 3
Jul 28 2020

Los aspectos económicos de la Transformación de las Redes y la Seguridad - Parte 3

Co-authored by Neil Thacker and Nathan Smolenski

Es muy necesaria una revisión del marco y la estrategia para gestionar la transformación de las redes y la seguridad. Cada CIO, CISO y CTO está hoy evaluando sus costos actuales para ejecutar y operar un plan de proyecto fiable para las redes y la seguridad para el año 2021 y más allá. En las partes 1 y 2 de esta serie de tres partes, expliqué qué números deben alimentar estos cálculos y mediciones y cómo el rendimiento, la flexibilidad y la escalabilidad son claves para esta transformación. Ahora estamos en una etapa crítica para decidir cómo serán nuestros programas y proyectos para nuestras redes y seguridad en un futuro próximo... y sólo tenemos una oportunidad para hacerlo bien.

Impulsar el crecimiento de los ingresos brutos mientras se mejora el balance final aumentando la eficiencia de los costos operativos

Pregunte a un consejo de administración cuál es su objetivo final para la transformación digital, le dirán que es mejorar el crecimiento de los ingresos brutos mientras se aplica la eficiencia en los costos operativos para mantener un resultado final saludable. La transformación conlleva nuevos costos, pero a medida que los equipos de proyecto adquieren más experiencia en la transformación digital, también se consigue más eficiencia económica. 

Este mismo enfoque se aplica a la transformación de las redes y la seguridad. Ahora tenemos organizaciones que han seguido los mismos principios de diseño y han trasladado, o están trasladando, sus controles y tecnologías de seguridad a la nube. Estos conjuntos de habilidades están muy solicitados a medida que más y más organizaciones se dan cuenta del valor de esta transformación. Este movimiento también permite a la organización simplificar sus proyecciones presupuestarias y centrarse en la gestión de los gastos reduciendo sus impredecibles gastos de CAPEX y pasando a un modelo OPEX predecible basado en suscripciones que ayuda a la eficiencia de los costes operativos. Comentaré más sobre esto más adelante. En resumen, una situación en la que todos ganan. No sólo es más sencillo de predecir, sino que a medida que la seguridad se convierte en un sector basado en los servicios, sustentará la reducción de costos y permitirá oportunidades adicionales de consolidación.  

Ya han pasado los días en que se enrutaba el tráfico a través de la Internet pública y a través de infinidad de equipamientos de seguridad, todos intentando inspeccionar y decodificar el tráfico, mientras que el departamento de redes y el de seguridad necesitan realizar revisiones regulares de cada equipamiento para evaluar el ROI/TCO y haciendo la pregunta obvia: "¿Seguimos necesitando esto? y ¿hay una opción mejor?" Hoy en día, todas las organizaciones tienen la oportunidad de utilizar microservicios basados en la nube cuando surgen las necesidades sin necesidad de costosas revisiones de diseño y arquitectura. Pensando en esto como una analogía, es similar a reservar un viaje internacional y utilizar una docena de aerolíneas y aeropuertos para llegar a su destino. Cada conexión de vuelo requiere otro control de seguridad donde usted y su equipaje deben ser escaneados. Ahora piense en todo lo que le costará esto. Si se le da a elegir, todo el mundo elegirá una opción directa económica con la misma o mejor seguridad aplicada bajo demanda. Esto es de lo que debería tratar la transformación de las redes y la seguridad, algo simple, rápido y seguro, sin retrasos innecesarios.

Flexibilidad fuera de los límites de TI

A medida que transformamos nuestras redes y la seguridad y trasladamos nuestros controles de seguridad a la nube, debemos evaluar cómo planteamos nuestras previsiones y presupuestos. La seguridad de un usuario (prefiero referirme a los usuarios como empleados) en nuestro entorno es un gasto que habitualmente se analiza para cada año fiscal. Si tenemos 20.000 empleados, es obvio que será más caro y requerirá más recursos que para proteger a 2.000 empleados. El problema con las organizaciones es que no pueden predecir con exactitud cómo será el recuento de sus empleados en los próximos 3-5 años. El reto son las fusiones y adquisiciones (M&A), un elemento de cambio que se produce en la mayoría de las organizaciones y que zarandeará cualquier estrategia de seguridad y de TI. Con las fusiones y adquisiciones, predecir los costos de la incorporación de la nueva plantilla suele implicar pensar en un nuevo hardware o incluso en la sustitución de hardware para adaptarlo a los nuevos requisitos de la organización. Este tipo de retos pueden llevar meses de planificación y puesta en marcha, y normalmente ralentizarán a una organización en un momento crítico. Sin embargo, a medida que las organizaciones adoptan y utilizan la nube, podemos utilizar sistemáticamente los flexibles beneficios de la nube para escalar cuando sea necesario, sin compromisos. Añadir otros 5.000 empleados a una Gateway de Seguridad de Nueva Generación (NG SWG) basada en la nube es tan simple como actualizar la licencia. No hay hardware nuevo, no hay que enviar hardware a nuevas ubicaciones, no hay que poner racks y apilar equipamientos, ni conseguir espacio en los armarios. Esta flexibilidad, fuera de los límites de TI, no debe ser subestimada.

Como ya hemos superado algunos de los desafíos más difíciles del pasado y simplificado la incorporación de nuevos empleados, tenemos que pensar en otras oportunidades para consolidarnos. Creo que todos podemos estar de acuerdo en que la organización media ha adquirido muchas tecnologías y soluciones a lo largo de los años que están listas para ser reemplazadas en un mundo donde la prioridad es la nube. La primera afirmación que escucho de la mayoría de los CISOs cuando se habla de la transformación de la seguridad es: "Necesito consolidarme". La consolidación de las tecnologías no es una tarea fácil, pero puede facilitarse utilizando conceptos como el de Secure Access Service Edge (SASE) para identificar qué capacidades clave se requieren para apoyar el futuro ecosistema de la organización. Un elemento básico de la futura arquitectura de la mayoría de las organizaciones es hacer foco en lo siguiente, idealmente en el menor número de plataformas posible con integraciones basadas en API y una red global rápida y eficiente para proporcionar acceso a las aplicaciones e infraestructuras corporativas.

  • Gestión de Identidades y Accesos & Acceso de confianza cero a la Red (IAM & ZTNA)
  • Gateway de Seguridad Web e Gateway de Acceso Seguro a la Nube (SWG y CASB)
  • Protección de datos (Clasificación de datos y DLP)
  • Protección contra amenazas (Anti-Malware, Sandboxing, Aislamiento de navegadores)
  • Protección del punto final (NG-AV, EDR)
  • Automatización y Orquestación (SIEM & SOAR)

Al evaluar la reducción de costos y este nuevo modelo conceptual, debemos seguir asegurándonos de que vemos el valor, el beneficio y la reducción general de riesgos para nuestras organizaciones, al tiempo que proporcionamos la mejor conectividad y flexibilidad a nuestra plantilla. Después de todo, un presupuesto de seguridad siempre debe ser el adecuado según el apetito de riesgo de la organización.

Valor para el negocio, beneficios y reducción de riesgos

Al examinar el valor, los beneficios y, en última instancia, las oportunidades de reducción del riesgo y la eficacia de un mejor control, a menudo es difícil llegar a un cálculo realista del valor que está en juego. Hay distintas variantes para evaluar tales situaciones frente al riesgo y ciertamente hay muchos debates alrededor de este tema. Bruce Schneier escribió un gran artículo sobre este mismo tema para CSO en septiembre de 2008 que ha envejecido relativamente bien. En lo que respecta al enfoque tradicional de poner un valor en dólares al riesgo, afirma: "La metodología clásica se llama expectativa de pérdida anual (ALE), y es sencilla. Calcula el costo de un incidente de seguridad tanto en tangibles, como el tiempo y el dinero, e intangibles, como la reputación y la ventaja competitiva. Multiplique eso por la probabilidad de que el incidente ocurra en un año. Eso te dice cuánto debes gastar para mitigar el riesgo". 

Este enfoque de "probabilidad x impacto" ha sido el método que todos hemos tratado de aplicar de un modo, forma o manera, para obtener alguna semblanza de un indicador financiero del costo de los riesgos que hemos identificado y estamos tratando de gestionar. El problema, como también señala Bruce, es que los resultados de estos cálculos van esencialmente en contra nuestra cuando hablamos con los dirigentes empresariales, y se ven empañados por la falta de buenos datos para las variables de entrada. 

Por ejemplo, si el costo calculado de un riesgo determinado es de 40.000 dólares anuales y el costo total de propiedad de las personas, los procesos y la tecnología que intentan gestionar mejor o reducir ese riesgo es de 65.000 dólares anuales, imagínese lo que el Director Financiero va a querer saber. ¿Cuán precisos son nuestros datos sobre los factores que entran en la medición del impacto (pérdida real, reputación, etc.) y cuán precisos son nuestros datos para determinar la probabilidad real? E, incluso si todos estamos de acuerdo con estas cifras, la forma en que el Director Financiero interpreta y en última instancia decide permitirle invertir, puede obviamente ser influenciada por estos, y muchos otros factores. Al hablar con muchas personas del sector, así como por mi propia experiencia como profesional, tenemos a menudo el reto de cerrar la brecha en la comprensión. Si no se comprenden financieramente los verdaderos niveles de tolerancia al riesgo de la organización, se podría estar librando una difícil batalla. 

Cuando reflexionamos sobre la gestión de riesgos es fundamental determinar cuán eficazmente se gestionan los riesgos. Desde la perspectiva de la ciberseguridad, a menudo veremos a las organizaciones alinear las políticas y los controles con marcos estandarizados que a menudo son auditados por terceros anualmente para determinar la madurez, la alineación y el progreso general. Los departamentos de seguridad se ven entonces obligados a priorizar reactivamente muchos de sus esfuerzos después de la evaluación para abordar las conclusiones. 

Desde la perspectiva de la gestión de riesgos, cuando una organización progresa en términos de riesgo, entonces se convierte puramente en un producto de los esfuerzos realizados para responder a las conclusiones de la evaluación. Los marcos de Valor en Riesgo como FAIR (Análisis Factorial del Riesgo de la Información) llaman a este enfoque un Método Implícito de gestión de riesgos debido a su naturaleza reactiva y a la falta de un circuito de retroalimentación consistente. El resultado suele ser un menor control del resultado de la gestión de riesgos desde la perspectiva de la exposición a las pérdidas, ya que los elementos de probabilidad y de impacto no se incluyen de forma nativa en los marcos. En cambio, una postura proactiva de gestión de riesgos tiene un objetivo de riesgo muy explícito que se gestiona constantemente como resultado de la valoración y las aportaciones al proceso de gestión de riesgos. 

Al evaluar la eficiencia de los costos operacionales, la flexibilidad, la reducción de costos, el valor para el negocio y una mejor gestión de riesgos como práctica, nos proponemos trabajar dentro de un modelo que informe y apoye continuamente los ajustes proactivos de nuestros controles para abordar un panorama cambiante de costos, beneficios para el negocio y riesgos.

author image
Acerca del autor
Neil Thacker is a veteran information security professional and a data protection and privacy expert well-versed in the European Union General Data Protection Regulation (EU GDPR).
Neil Thacker is a veteran information security professional and a data protection and privacy expert well-versed in the European Union General Data Protection Regulation (EU GDPR).