Paso a paso para la adopción de soluciones "as a Service" en video y acceso

Abordamos el tema teniendo en cuenta: 

• El cambio hacia la seguridad basada en la nube
• ¿Qué son VSaaS y ACaaS?
• Comparativo On-Premise vs. como servicio
• Adopción paso a paso en términos generales
• Fortalecimiento de la nube en cuanto seguridad y cumplimiento
• Continuidad de la operación con base en la nube
• Perspectiva estratégica y recomendaciones
• El futuro de la seguridad es integrada, con convergencia e IA

El cambio hacia la seguridad basada en la nube

Fuente: itmastersmag.com

La seguridad física corporativa está experimentando una transformación fundamental con la adopción de la Videovigilancia como Servicio (VSaaS) y el Control de Acceso como Servicio (ACaaS). Este cambio representa una redefinición estratégica, trasladando a las organizaciones de un modelo de gasto de capital, tradicionalmente asociado con la compra y el mantenimiento de hardware costoso, a un modelo de gasto operativo flexible basado en suscripciones.

Esta transición no solo moderniza la infraestructura de seguridad, sino que también mejora la agilidad operativa y alinea los costos de seguridad directamente con las necesidades y el uso del negocio, permitiendo la liberación de capital para otras inversiones estratégicas.

La migración a la nube para la seguridad física desbloquea capacidades que serían difíciles o excesivamente costosas de lograr con sistemas locales. Entre los beneficios estratégicos más significativos se encuentran una escalabilidad sin precedentes, que facilita la expansión de la cobertura de seguridad a nuevas ubicaciones con una inversión inicial mínima. 

Asimismo, se logra una gestión centralizada que ofrece una "visión única" para operaciones con múltiples sedes, y una accesibilidad remota nativa que permite a los equipos de seguridad monitorear y responder a incidentes desde cualquier lugar y en cualquier momento. Más allá de la seguridad, estas plataformas impulsadas por la inteligencia artificial (IA), transforman los datos de video y acceso en inteligencia de negocio procesable, optimizando operaciones y mejorando la experiencia del cliente.

Sin embargo, la adopción de estas tecnologías también introduce desafíos críticos que deben ser gestionados proactivamente. El más notorio es la dependencia de una infraestructura de red robusta, con un ancho de banda de subida suficiente y una baja latencia para garantizar un rendimiento óptimo. La gestión de datos en la nube también presenta complejidades relacionadas con la soberanía de datos y el cumplimiento de normativas de privacidad como el GDPR. Finalmente, existe un riesgo estratégico de dependencia del proveedor (vendor lock-in), especialmente con sistemas propietarios que pueden limitar la compatibilidad del hardware y la flexibilidad a largo plazo.

Para el éxito de cualquier iniciativa de VSaaS o ACaaS, es crucial una planificación meticulosa de la infraestructura de red, un proceso riguroso de diligencia debida del proveedor enfocado en certificaciones de seguridad y acuerdos de nivel de servicio (ANS) , y una clara comprensión del modelo de responsabilidad compartida en la seguridad de la nube, donde la seguridad es una colaboración constante entre el cliente y el proveedor.

¿Qué son VSaaS y ACaaS?

La transición de los sistemas de seguridad física locales a modelos "como Servicio" marca uno de los cambios más importantes en la industria, no solo modificando dónde se procesan y almacenan los datos, sino redefiniendo la forma en que las organizaciones adquieren, gestionan y utilizan sus capacidades de seguridad.

Videovigilancia como servicio (VSaaS)

 La Videovigilancia como Servicio (VSaaS) es un modelo de seguridad basado en la nube que permite grabar, almacenar y gestionar las secuencias de video de las cámaras de vigilancia de forma remota a través de Internet. Las organizaciones pagan una tarifa de suscripción a un proveedor que gestiona toda la infraestructura de backend, eliminando la necesidad de depender de grabadores de video digital (DVR), grabadores de video en red (NVR) o servidores dedicados locales.

Su propuesta de valor central reside en transformar la videovigilancia de una función estática y centrada en el hardware a un servicio dinámico, accesible y definido por software, lo que suprime la necesidad de una inversión inicial significativa en hardware, alivia la carga de mantenimiento para los equipos de TI y ofrece una flexibilidad y escalabilidad inigualables por los sistemas tradicionales.

Existen tres modelos arquitectónicos principales para las implementaciones de VSaaS:

• El modelo directo a la nube (Direct-to-Cloud), donde las cámaras IP transmiten el video directamente a los servidores del proveedor a través de Internet, es la arquitectura más simple y con la menor huella de hardware local.
• El modelo de dispositivo puente/gateway (Bridge/Gateway) es el más común para organizaciones con cámaras existentes, donde un dispositivo local actúa como intermediario, conectándose a las cámaras y estableciendo un túnel seguro con la nube. Estos dispositivos a menudo incluyen almacenamiento local para grabaciones durante interrupciones de Internet.
• El modelo VMS Híbrido en la nube (Hybrid Cloud VMS) combina un VMS local con almacenamiento en la nube, ideal para organizaciones con necesidades mixtas, permitiendo el archivo a largo plazo o el respaldo redundante en la nube.

Las soluciones VSaaS modernas van más allá del simple almacenamiento, ofreciendo un sistema de gestión de video en la nube centralizado para la visualización en vivo y grabada, gestión de cámaras y usuarios. Proporcionan almacenamiento escalable en la nube, donde las organizaciones pagan solo por lo que usan, permitiendo políticas de retención flexibles para cumplir con normativas como GDPR o similares. Además, integran analíticas impulsadas por IA para transformar los datos de video en inteligencia operativa y de negocio, incluyendo búsqueda inteligente de movimiento, conteo de personas y reconocimiento de matrículas.

Control de acceso como servicio (ACaaS)

El control de acceso como servicio (ACaaS) aplica el modelo de software como servicio (SaaS) a los sistemas de seguridad de acceso físico. Mientras que el hardware local como lectores de tarjetas y cerraduras electrónicas permanece en las instalaciones, el software de gestión, la base de datos de usuarios y los registros de eventos se alojan en la nube y son gestionados por un proveedor a cambio de una tarifa recurrente. 

La propuesta de valor de ACaaS radica en la centralización y simplificación de la gestión del acceso, eliminando la necesidad de servidores locales en cada sitio y facilitando una administración remota y en tiempo real de los derechos de acceso desde una única interfaz.

La arquitectura típica de ACaaS se basa en controladores de puerta y lectores con conexión IP en la instalación, que se comunican de forma segura con los servidores en la nube del proveedor. Estos servidores alojan la base de datos central de usuarios y permisos. Las soluciones ACaaS modernas ofrecen una plataforma de gestión basada en la nube con una "visión única" para administrar el acceso, permitiendo a los administradores agregar/eliminar usuarios, definir niveles de acceso y revisar registros desde cualquier navegador. 

Las credenciales móviles permiten usar smartphones como credenciales seguras, lo que reduce costos y agiliza la provisión/revocación de acceso. Además, las API abiertas e integraciones facilitan la conexión con otros sistemas empresariales como VSaaS, RRHH o gestión de visitantes, maximizando el valor de la inversión.

Comparativo on-premise vs. como servicio

Fuente: shutterstock.com

La decisión de adoptar un modelo "como Servicio" en lugar de un sistema local tradicional conlleva importantes implicaciones estratégicas, técnicas y financieras. En el modelo local, los costos son intensivos en capital, con alta inversión inicial y escalabilidad rígida. El mantenimiento y las actualizaciones son responsabilidad total del cliente, y la accesibilidad remota es compleja. En contraste, los sistemas basados en la nube operan con un modelo de costo de operación, ofreciendo pagos de suscripción predecibles y una escalabilidad flexible bajo demanda. 

El proveedor se encarga del mantenimiento y las actualizaciones, y la accesibilidad remota es nativa y segura. La infraestructura física se reduce a los dispositivos de punto final, y la gestión de la seguridad se rige por un modelo de responsabilidad compartida, donde el proveedor asegura la nube y el cliente asegura los datos y el acceso. Además, la recuperación de datos suele estar incluida en el servicio, y las nuevas características se implementan rápidamente a través de actualizaciones en la nube.

Este cambio redefine el papel del departamento de TI interno, pasando de la gestión del hardware y las tareas reactivas a actividades más estratégicas como la gestión de proveedores, la aplicación de ANS y la gobernanza de la ciberseguridad. El modelo de suscripción fomenta una relación simbiótica entre el cliente y el proveedor, incentivando al proveedor a garantizar el tiempo de actividad, la seguridad y las actualizaciones continuas para retener al cliente.

Adopción paso a paso en términos generales

La transición a soluciones VSaaS y ACaaS exige un enfoque estructurado y metódico. Este marco de cuatro fases guía a las organizaciones desde la planificación estratégica hasta el despliegue y la integración.

Fase 1: Evaluación y planificación estratégica

Esta fase inicial es crucial para establecer las bases del proyecto, evitando errores costosos y asegurando que la solución final satisfaga las necesidades reales de la organización.

Es fundamental comenzar por la definición de objetivos de seguridad y operativos. Se deben establecer metas específicas, medibles, alcanzables, relevantes y con plazos (SMART), como "reducir el tiempo de investigación de incidentes en un 50% mediante la búsqueda de video basada en eventos" o "automatizar la provisión de acceso para empleados". Enmarcar el proyecto en términos de valor empresarial es esencial para asegurar el apoyo de las partes interesadas y justificar la inversión.

Luego, se procede con la auditoría de la infraestructura existente. Esto implica un inventario completo de dispositivos de seguridad actuales (cámaras, lectores, paneles) y una evaluación de su compatibilidad con sistemas IP modernos, priorizando la compatibilidad con el estándar ONVIF para cámaras IP. La infraestructura de red es el componente más crítico; la auditoría debe incluir un mapa detallado de la topología, la capacidad de los conmutadores (incluido el presupuesto PoE) y mediciones precisas del ancho de banda de Internet, con especial atención a la velocidad de subida y la latencia.

La construcción del caso de negocio requiere un análisis riguroso del costo total de propiedad a 3 o 5 años. Para un sistema local, incluirá el CapEx (hardware, licencias), costos de instalación y operativos (energía, personal de TI, mantenimiento) y costos de actualización. Para VSaaS/ACaaS, abarcará el CapEx de hardware de punto final, costos de instalación, tarifas de suscripción recurrentes y posibles costos adicionales para actualizar las conexiones a Internet. Comparar estos dos modelos proporcionará una imagen financiera clara.

Fase 2: Diligencia debida y selección de proveedores

Elegir al socio tecnológico adecuado es una de las decisiones más críticas. Se recomienda establecer un marco de evaluación objetivo con un cuadro de mando que liste criterios de selección, asigne pesos según la prioridad y permita una calificación cuantitativa de cada proveedor.

La seguridad, el cumplimiento y la soberanía de datos son criterios no negociables. Se debe exigir a los proveedores certificaciones de terceros como ISO 27001 y SOC 2 Tipo II, y normativas específicas de la industria como PCI DSS o HIPAA según el caso. Es fundamental que el proveedor sea transparente sobre la ubicación física de sus centros de datos y ofrezca opciones para cumplir con las leyes locales de soberanía de datos, como el GDPR.

Los acuerdos de nivel de servicio (ANS) deben examinarse detalladamente. Se debe buscar una garantía de tiempo de actividad de al menos el 99.9% con respaldo financiero, analizando cómo se define el "tiempo de inactividad" y el proceso para reclamar créditos por servicio. También se deben evaluar los canales de soporte técnico y los tiempos de respuesta garantizados.

La compatibilidad de plataforma y hardware es clave para evitar la dependencia del proveedor (vendor lock-in). Se debe preferir a los proveedores con plataformas "agnósticas al hardware" que soporten una amplia gama de cámaras (ONVIF) y lectores de acceso de terceros. Una API robusta y bien documentada también es indicativa de una plataforma madura y preparada para el futuro, permitiendo la integración con otros sistemas empresariales.

Finalmente, los modelos de precios deben ser transparentes. Se debe analizar cómo se estructuran las tarifas (por cámara, puerta, usuario, almacenamiento) e identificar todos los costos potenciales, incluidas las tarifas de transferencia de datos, los complementos y los costos de hardware inicial. Para viabilizar este proceso, es útil una lista de verificación estructurada que evalúe a los proveedores en función de la seguridad y el cumplimiento, los ANS y el soporte (garantía de tiempo de actividad, tiempos de respuesta), la tecnología y la plataforma (compatibilidad ONVIF, API), el costo, y la viabilidad del negocio (años en el mercado, referencias).

Fase 3: Preparación de la infraestructura y la red

Una vez seleccionado el proveedor, el enfoque se traslada a la preparación de la infraestructura local para garantizar un rendimiento óptimo.

El diseño de la arquitectura de red es fundamental para la seguridad y el rendimiento. Todos los dispositivos de seguridad física (cámaras, controladores, puentes) deben ser aislados en su propia red de área local virtual (VLAN) o subred para limitar la superficie de ataque. Además, se deben implementar políticas de Calidad de Servicio (QoS) en los enrutadores y conmutadores para priorizar el tráfico de VSaaS y ACaaS, asegurando el ancho de banda y la baja latencia necesarios.

El cálculo de los requisitos de ancho de banda para VSaaS es el paso técnico más crítico. El ancho de banda de subida requerido por cámara depende de la resolución, los fotogramas por segundo (FPS) y el códec de compresión o los "códecs inteligentes" que ajustan el bitrate dinámicamente. El ancho de banda total es la suma de los bitrates de todas las cámaras que transmitirán a la nube simultáneamente. 

Se recomienda añadir un margen de seguridad del 20-25% para futuras expansiones y fluctuaciones de la red. Por ejemplo, para un despliegue con 4 cámaras 1080p a 15 FPS, 2 cámaras 4K a 30 FPS y 8 cámaras 1080p a 10 FPS, todas usando H.265, se podría estimar un bitrate total de aproximadamente 36.0 Mbps, lo que requeriría un plan de ISP con 45 Mbps de subida para incluir un margen de seguridad.

La latencia de la red también es un factor crítico. Una latencia alta (superior a 100-150 ms) puede causar retrasos perceptibles en ACaaS y afectar la visualización de video en vivo o el control de cámaras PTZ en VSaaS. La mitigación incluye el uso de conexiones de red cableadas (Ethernet) y conexiones de fibra óptica, que ofrecen una latencia inherentemente menor.

Finalmente, la planificación del hardware y alimentación en el sitio es importante. El uso de switches Power over Ethernet (PoE) es la práctica estándar, ya que permite que un solo cable Ethernet proporcione tanto datos como energía a dispositivos como cámaras y lectores de acceso, reduciendo drásticamente la complejidad del cableado. Es fundamental asegurarse de que el presupuesto de energía del conmutador PoE sea suficiente y compatible con el estándar PoE requerido por cada dispositivo (IEEE 802.3af, 802.3at o 802.3bt).

Fase 4: Despliegue, migración e integración

Con la planificación completa y la infraestructura preparada, esta fase pone el plan en acción, siendo crucial una ejecución cuidadosa para una transición sin problemas.

La estrategia de despliegue puede ser por fases o una transición completa. Se recomienda el despliegue por fases (o proyecto piloto) para aprender, identificar y resolver problemas a pequeña escala antes de una implementación a gran escala. Una postura de ejecución completa es de mayor riesgo y más adecuado para instalaciones nuevas donde no hay un sistema heredado.

Si se reemplaza un sistema existente, la migración de datos y usuarios debe planificarse cuidadosamente. Se debe desarrollar un proceso para exportar e importar bases de datos de usuarios y credenciales, aprovechando la oportunidad para limpiar los datos. Para el video archivado, se puede considerar mantener el sistema antiguo en modo de solo lectura durante el período de retención requerido, mientras que todas las nuevas grabaciones se realizan en la nueva plataforma VSaaS.

La integración con sistemas empresariales es crucial para maximizar el retorno de la inversión y la más valiosa es con los sistemas de RRHH o Directorio Activo (por ejemplo, Azure AD), lo que permite automatizar la provisión y desprovisión de acceso para empleados, mejorando la seguridad y la eficiencia administrativa. Otras integraciones pueden incluir sistemas de gestión de edificios o herramientas de inteligencia de negocio.

Finalmente, la formación y adopción por parte de los usuarios es esencial. Se debe desarrollar un plan de formación adaptado a diferentes grupos, como administradores del sistema, operadores de seguridad y empleados generales, asegurando una comunicación clara sobre el uso de nuevas credenciales y procedimientos. Un proceso de incorporación y formación bien ejecutado es fundamental para la adopción, la reducción de llamadas de soporte y la realización del valor total del sistema.

Fortalecimiento de la nube en cuanto seguridad y cumplimiento

Fuente: deltaprotect.com

La migración a la nube para la seguridad física introduce un nuevo paradigma de seguridad que requiere una gestión activa y una comprensión clara de las responsabilidades.

Responsabilidad compartida en la seguridad de la nube

El modelo de responsabilidad compartida es fundamental. El proveedor de VSaaS/ACaaS es responsable de la seguridad de la nube, lo que incluye la infraestructura (seguridad física de los centros de datos, red troncal, hipervisor y hardware de computación y almacenamiento). El cliente, por su parte, es responsable de la seguridad en la nube, es decir, de cómo utiliza el servicio y de la seguridad de los datos que introduce. 

Esto abarca la gestión de identidad y acceso de los usuarios, la correcta configuración de las políticas de seguridad dentro de la plataforma, la clasificación y el cumplimiento de los datos, y la seguridad de los dispositivos de punto final que se conectan al servicio. Es crucial entender que las configuraciones incorrectas por parte del cliente son una de las principales causas de las brechas de seguridad en la nube. La seguridad es un proceso continuo y colaborativo.

Protocolos de protección de datos

La protección de los datos de video y acceso se logra mediante un cifrado robusto en todas las etapas. El cifrado de extremo a extremo asegura que los datos estén cifrados en tránsito (entre dispositivos y servidores en la nube, usando TLS 1.2 o superior) y en reposo (una vez en los servidores del proveedor, usando AES-256).

La gestión de claves puede ser administrada por el proveedor (modelo más simple) o por el cliente para organizaciones con requisitos de seguridad muy estrictos, garantizando que el proveedor nunca tenga acceso a las claves para descifrar los datos.

Gestión de identidad y acceso 

La gestión de quién accede a la plataforma de seguridad y qué puede hacer es una responsabilidad crítica del cliente. Se debe aplicar el principio de privilegio mínimo, otorgando a cada usuario solo los permisos necesarios para sus funciones. El control de acceso basado en roles simplifica la administración al asignar usuarios a roles con conjuntos específicos de permisos, como "Administrador del Sitio" o "Guardia de Seguridad". La autenticación multifactor (MFA) debe exigirse para todas las cuentas administrativas o privilegiadas, añadiendo una capa de seguridad crucial contra el robo de credenciales.

Seguridad física de la infraestructura en la nube

Aunque el cliente no gestiona los centros de datos, es su responsabilidad asegurar que el proveedor implemente medidas de seguridad física robustas. Los proveedores de nube de primer nivel utilizan un enfoque de "defensa en profundidad" para la seguridad física, incluyendo seguridad perimetral, personal 24/7, videovigilancia, controles de acceso estrictos (a menudo biométricos) y controles ambientales (detección de incendios, energía y refrigeración redundantes). Las certificaciones como SOC 2 e ISO 27001 son cruciales como validación independiente de que el proveedor mantiene controles de seguridad física y ambiental efectivos.

Continuidad de la operación con base en la nube

Una vez desplegado el sistema, un alto nivel de calidad operativa garantiza un funcionamiento fiable y la entrega de valor máximo a lo largo del tiempo.

Gestión centralizada del sistema y monitoreo de variables en operación

Las plataformas en la nube ofrecen un "Panel único de control" que proporciona una visión en tiempo real del estado de todos los dispositivos conectados en todas las ubicaciones. Esto permite a los administradores identificar instantáneamente problemas sin necesidad de conectarse a sistemas locales. La gestión proactiva se logra mediante Alertas Proactivas automatizadas para eventos como "cámara desconectada", "disco casi lleno" o "puerta forzada", permitiendo a los equipos de TI y seguridad abordar problemas antes de que escalen.

Gestión de usuarios, credenciales y permisos

La gestión del ciclo de vida de los usuarios es una tarea operativa continua. Es esencial establecer flujos de trabajo diarios claros para la incorporación y baja de empleados, la asignación de roles y la provisión de credenciales, siendo la automatización mediante la integración con RRHH la mejor práctica. Se deben programar Auditorías Regulares de cuentas de usuario y permisos (por ejemplo, trimestrales) para verificar que el acceso de cada usuario siga siendo necesario y para eliminar derechos de acceso obsoletos, reforzando el principio de privilegio mínimo.

Exportación y gestión de evidencia en video

En caso de un incidente, la capacidad de encontrar, exportar y gestionar rápidamente la evidencia en video es crucial. Las plataformas VSaaS modernas simplifican el proceso de exportación, permitiendo a los operadores buscar por tiempo o eventos, seleccionar cámaras y definir clips para exportar en el formato deseado.

Para mantener la cadena de custodia, la evidencia debe exportarse en un formato propietario seguro que incluya firmas digitales o metadatos que demuestren que no ha sido alterada, y la plataforma debe registrar cada acción de exportación. Para el cumplimiento de la privacidad, se deben utilizar funciones de enmascaramiento de privacidad para desenfocar o pixelar rostros o áreas sensibles antes de la exportación.

Aprovechamiento de analíticas avanzadas para la inteligencia de negocio

El valor real de las plataformas de seguridad en la nube se desbloquea al utilizar sus datos más allá de la seguridad tradicional. En el comercio minorista (Retail), las analíticas de conteo de personas y mapas de calor pueden optimizar la disposición de productos y la dotación de personal, mientras que la integración con el Punto de Venta (POS) reduce el tiempo para investigar fraudes. 

En bienes raíces comerciales, el seguimiento de la ocupación puede optimizar los sistemas de climatización e iluminación, reduciendo costos de energía, y el acceso móvil mejora la experiencia del inquilino. En educación, las alertas en tiempo real y el acceso remoto a video mejoran la seguridad del campus y la respuesta a emergencias.

Perspectiva estratégica y recomendaciones

La adopción de VSaaS y ACaaS es un viaje estratégico que, a pesar de sus beneficios transformadores, también presenta desafíos que deben ser abordados con cuidado.

Es crucial abordar proactivamente los desafíos inherentes al modelo. La dependencia del ancho de banda se mitiga asegurando una conexión a Internet de grado empresarial con garantías de servicio, considerándola como un requisito fundamental del proyecto. Para ubicaciones con conectividad limitada o cámaras críticas, los modelos híbridos con almacenamiento local pueden servir como respaldo.

La privacidad de datos y cumplimiento normativo requiere la participación de equipos legales y de cumplimiento desde el inicio. Se debe priorizar a los proveedores con un fuerte compromiso de cumplimiento, certificaciones auditadas y políticas claras sobre la residencia de datos, que permitan elegir la región del centro de datos para cumplir con regulaciones como el GDPR.

Para mitigar la dependencia del proveedor (Vendor Lock-In), la estrategia más efectiva es preferir a los proveedores que adoptan estándares abiertos, como el soporte ONVIF para VSaaS y la compatibilidad con una variedad de lectores y controladores de terceros para ACaaS. Una API abierta y bien documentada también proporciona flexibilidad, manteniendo el control sobre los datos e integraciones.

El futuro de la seguridad es integrada, con convergencia e IA

La evolución de la seguridad física apunta hacia una mayor integración e inteligencia. El futuro es una convergencia de plataformas, donde VSaaS y ACaaS están profundamente integrados, permitiendo que los eventos de un sistema desencadenen acciones automáticas en el otro, como vincular un intento de acceso denegado con el video de la cámara asociada. La Evolución de la IA pasará de la analítica descriptiva a la predictiva, analizando patrones para identificar anomalías y predecir posibles incidentes de seguridad antes de que ocurran, facilitando una intervención proactiva.