Conversatorio 2: SASE: Perspectivas sobre la evolución de la seguridad y la conectividad empresarial

Para complementar el diálogo sobre SASE, en un segundo conversatorio de Estrategia, Tecnología y Negocios, realizado en Quito con ejecutivos de las industrias automotriz, industrial, bancaria y de salud, se abordaron aspectos coyunturales relacionados con los presupuestos, la gestión de la ciberseguridad, la seguridad en entornos híbridos y la necesidad de fortalecer la visibilidad en seguridad en las organizaciones.

En esta ocasión participaron Denny Gallo, CIO de Toyota del Ecuador; Carlos Alvear, jefe de Ciberseguridad de Banco Internacional; Alex Cuñaz, responsable de IT de Boehringer Ingelheim del Ecuador; Patricio Jiménez, jefe de Infraestructura y Comunicaciones de Industrial Danec; Verónica Velasteguí, responsable de Infraestructura y Redes de Casabaca; Christian Chamba, gerente de Producto y Soluciones Digitales de Roche Ecuador; junto con Yadira Salas, Raúl Guerrero, Magali Fernández, , gerentes de cuenta y Enrique Erazo, ingeniero de ventas de Cirion.

Uno de los ejes centrales fue el análisis de presupuestos y su relación con la gestión de la ciberseguridad. Se destacó que la madurez en este campo se alcanza cuando los incidentes dejan de verse solo como hechos técnicos y se evalúan también en función de pérdidas económicas, afectación reputacional y tiempos de recuperación. La obtención de presupuesto sigue siendo un proceso complejo, debido a la limitación de recursos, por lo que resulta esencial que accionistas y tomadores de decisión comprendan el valor de invertir en seguridad. Formalizar metodologías de impacto que permitan medir riesgos y justificar inversiones en distintos niveles se presentó como una práctica necesaria.

Consultoras internacionales recomiendan destinar en promedio el 15% del presupuesto de IT a ciberseguridad, aunque este valor varía según el sector, el tamaño y el giro del negocio. En muchas organizaciones ecuatorianas todavía no se alcanza ese nivel, y la asignación depende en gran medida del presupuesto global de tecnología. La tendencia internacional, sin embargo, apunta a incrementar la proporción dedicada a seguridad, impulsada tanto por regulaciones como por el crecimiento de amenazas. El verdadero reto aparece cuando se requiere ir más allá de los gastos recurrentes, y es allí donde se vuelve indispensable construir un caso de negocio que demuestre el retorno de inversión en seguridad (ROSI) y los beneficios tangibles para las distintas áreas.

En este sentido, se enfatizó que para trabajar los presupuestos es indispensable conocer el giro del negocio y alinear las necesidades tecnológicas con los objetivos estratégicos. Mantener lo ya implementado, aportar conocimiento, analizar escenarios y estructurar un ROSI transparente en términos de impacto empresarial son pasos clave. Lo que está presupuestado resulta más sencillo de ejecutar, mientras que las nuevas necesidades deben estar bien fundamentadas.

Para ello, se recomendó medir y comparar con un análisis de riesgos, de manera que las decisiones se respalden en criterios objetivos. Los proveedores, a través de assessments o evaluaciones preliminares multidisciplinarias, pueden aportar una visión integral de los requerimientos de cada área y servir como soporte en la toma de decisiones.

En cuanto a la seguridad en entornos híbridos, se señaló que la coexistencia de diferentes arquitecturas tecnológicas es inevitable, lo que obliga a levantar y monitorear controles bajo una planificación centralizada. La seguridad debe consolidarse en torno a un principio común que abarque usuarios, redes y servicios en la nube, garantizando conectividad y disponibilidad sin descuidar la protección.

También, se analizó el concepto de SASE como un marco que integra funciones de seguridad y conectividad en un único servicio basado en la nube. Se resaltó su estructura en tres pilares: el usuario y sus dispositivos, la red y las aplicaciones. Aunque aún se trata de un camino en construcción y muchas organizaciones lo están evaluando como alternativa, se reconoció su valor en la convergencia tecnológica, con beneficios en la reducción de costos operativos y un mejor control de accesos.

Conclusiones

• SASE se percibe como un paso natural para integrar seguridad y conectividad en entornos híbridos, donde empresas combinan nube, servicios locales y trabajo remoto.
• SASE no sustituye completamente a otras soluciones (firewalls, SIEM, NDR), sino que las complementa y ayuda a consolidar políticas de control y visibilidad central.
• Las empresas se mueven hacia modelos híbridos (nube /on-premise) que obliga a tener una visibilidad centralizada para gestionar riesgo
• Existen empresas que destinan un presupuesto independiente a ciberseguridad; aunque también otras comparte su presupuesto con TI y se percibe como un “costo” y no como una inversión que protege reputación y continuidad.
• A menudo, los presupuestos se evalúan bajo criterios de costo y no de valor. Sin embargo, la pregunta que no debe faltar es: ¿cuánto cuesta perder una hora de servicio?
• El reto está en cambiar la conversación desde la visión de gasto hacia el entendimiento de la seguridad como un elemento que protege la continuidad operativa y el valor del negocio.
• La justificación de la inversión en seguridad debe basarse en impacto financiero, reputacional y de productividad