preparación de la infraestructura de ti para el lugar de ... · wi-fi estable acoplada a una red...

1Authored by Dean Zaremba, George Stefanick, and Erin O’Reilly of Free Space Wireless,

in partnership with Aruba, a Hewlett Packard Enterprise company

Plan de acción para profesionales de las TI

Authored by Dean Zaremba, George Stefanick, and Erin O’Reilly of Free Space Wireless,in partnership with Aruba, a Hewlett Packard Enterprise company

El auge de la comunidad #GenMobile

Desafíos para las organizaciones de TI a la hora de habilitar el lugar de trabajo digital

Soluciones a estos desafíos

¿Qué aspecto tiene una red #GenMobile?

Conclusión

Preparación de la infraestructura de TI para el lugar de trabajo digital



El auge de la comunidad #GenMobile

El término #GenMobile define a la siguente generación de trabajadores digitales que utilizan los dispositivos móviles en formas que trascienden a lo convencional. En un mundo que concede prioridad a la movilidad, los dispositivos —antes relegados al correo electrónico profesional y al entretenimiento personal— se están convirtiendo en el componente central para cada aspecto de la productividad diaria.

En la esfera de uso personal, los dispositivos móviles y aplicaciones ofrecen entretenimiento, redes

sociales, compras, navegación y banca. En la profesional, se utilizan para comunicaciones de voz, uso

compartido de archivos, conferencias de vídeo, CRM (gestión de relaciones con los clientes), colaboración

unificada, informes de gastos, organización conjunta de calendarios, asistencia técnica y seguimiento

de proyectos. La línea que separa nuestra vida social y personal es cada vez difusa, como apuntan los

resultados del último estudio del sector realizado por The Economist Intelligence Unit (EIU):

• Un 30 % de los encuestados afirma que nunca trabajaría para una empresa que no le permitiese

usar su propio móvil para trabajar.

• La posibilidad de trabajar en cualquier momento y lugar se considera el factor aislado con mayor

impacto en la productividad de los empleados, hasta el punto en que un 49 % de los encuestados

cree que la flexibilidad en el trabajo es la causa de su mayor productividad.

• Un 31 % de las empresas encuestadas usan aplicaciones de comunicaciones móviles para mejorar

la eficiencia de sus empleados.

El concepto de IoT (del inglés, Internet of Things) también está creando nuevas oportunidades y

consideraciones para esa plantilla digital que concede prioridad a la movilidad, ya que los llamados

dispositivos “headless” (sin soporte gráfico) se están incorporando a Internet a un ritmo vertiginoso.

Estos dispositivos incluyen sistemas de iluminación, control de temperatura, control de sonido,

electrodomésticos, cierre de puertas, vehículos, equipos médicos, maquinaria de fabricación, medidores

de suministros, parquímetros, cámaras de vigilancia y mucho más.

La comunidad #GenMobile está cambiando el lugar de trabajo, con expectativas de flexibilidad en los

horarios, en la ubicación del trabajo y en el diseño de la oficina. Como resultado, los equipos de TI y las

infraestructuras de red deben adaptarse para dar cabida a un nuevo conjunto de requisitos.



Desafíos para las organizaciones de TI a la hora de habilitar el lugar de trabajo digital

1. Emprender la migración para abandonar las redes que no satisfagan las exigencias de una plantilla digital.

2. Habilitar una red basada en la movilidad con la fiabilidad de una infraestructura exclusivamente de elementos cableados.

3. Abordar el aumento de las amenazas de seguridad derivado de la adopción de políticas BYOD (del inglés, Bring Your Own Device) y dispositivos headless IoT.

4. Ofrecer una experiencia de aplicaciones y colaboración de calidad a ubicaciones remotas, en cualquier momento.

5. Incorporar a los clientes y empleados a los dispositivos móviles para mejorar la atención al cliente y las operaciones.

Sin duda es todo un desafío. Pero con cada desafío llega una gran oportunidad. Creemos que las

organizaciones que puedan situarse a la altura de estos desafíos y realizar la transición a un lugar de

trabajo digital con mayor rapidez que sus competidores se beneficiarán de ventajas sustanciales. En

el resto de este artículo, destacaremos las formas en que los departamentos de TI pueden reportar

ventajas tangibles a sus organizaciones en términos de reducción de gastos operacionales e inversiones,

y de mejora de la experiencia de empleados y clientes.




1. Wi-Fi estable acoplada a una red cableada de igual rendimiento ........5

2. Obtener una mayor visibilidad de la experiencia de usuario de extremo a extremo: Proactividad frente a reactividad ..........................11

3. Habilitar los numerosos usos de BYOD e IoT de forma segura .......... 15

4. Ofrecer aplicaciones y colaboración en la nube desde cualquier ubicación .......................................................................................................... 19

5. Aprovechar la tecnología BLE (Bluetooth Low Energy) para la interacción móvil en el interior de lugares públicos ................................. 21

5


Authored by Dean Zaremba, George Stefanick, and Erin O’Reilly of Free Space Wireless,



1. Wi-Fi estable acoplada a una red cableada de igual rendimiento

Pensemos en una situación real en la que dos usuarios realizan las mismas tareas en una red Wi-Fi, pero

donde solo uno de ellos disfruta de una magnífica experiencia de usuario. Esta situación es extremadamente

común en las redes antiguas que no cumplan las exigencias del lugar de trabajo digital. Pero, ¿por qué

sucede? y, lo que es más importante, ¿cómo puede atajarse?

La respuesta a esta pregunta está en el tipo de dispositivo: el teléfono inteligente, la tableta o el sinfín

de otros dispositivos que un usuario #GenMobile puede llevar consigo en un momento dado. Cada uno

de estos tipos de dispositivos dispone de radio de RF, sistema operativo y firmware de controlador

de red Wi-Fi propios, así como de sus propias modificaciones para compatibilidad con 802.11. Como

resultado, cada uno de estos dispositivos a menudo ofrecerá un rendimiento muy distinto en una misma

red de RF.

Además, no se puede esperar que todos los dispositivos sean compatibles con todas las aplicaciones de

la empresa. Si bien muchas empresas están implementando con éxito VoIP y vídeo a través de Wi-Fi en

dispositivos corporativos o en diversos modelos de teléfonos inteligentes o tabletas, la perspectiva de

ofrecer dichas aplicaciones sin incidencias a todos y cada uno de los tipos de dispositivos posibles en un

entorno BYOD resulta abrumadora.

El desafío que plantea la conducta diversa de los distintos tipos de dispositivos en el entorno de movilidad

tiene dos vertientes. En primer lugar, los dispositivos deben clasificarse por uso. Por ejemplo, ¿el

dispositivo en cuestión está previsto para su uso con servicios de localización, comunicación de voz,

colaboración, acceso a aplicaciones empresariales o IoT? Después, dentro de cada clasificación, debe

probarse cada dispositivo y diseñarse el entorno de RF para adaptarse a cada uso.

Un nuevo concepto de normalidad en cuanto a conectividad de red

con dispositivos móviles e IoT

6




Consideramos ahora otra situación real en la que un usuario tiene un gran éxito utilizando Wi-Fi Gigabit

(802.11ac) para todas sus necesidades. Sin embargo, varias veces a la semana, su rendimiento disminuye

drásticamente a pesar de que su dispositivo indica una elevada intensidad de la señal y “4 barras”

de conectividad. Tras estudiar la cuestión en profundidad, se determina que el bajo rendimiento se

produce siempre en las mismas horas en que se utiliza una gran sala de conferencias cercana. Este es

un ejemplo clásico de red Wi-Fi diseñada para los requisitos de cobertura antiguos, no para los requisitos

de capacidad actuales. Actualizar a la Wi-Fi 802.11ac es necesario para satisfacer las crecientes exigencias

de rendimiento del lugar de trabajo digital, pero no es suficiente.

Históricamente, el diseño de redes Wi-Fi solía centrarse en la intensidad de la señal. Se determinaba

la intensidad de señal necesaria para una determinada aplicación y, siempre que se mantuviese dicha

intensidad de señal en toda el área de cobertura, se consideraba que el rendimiento de la red era el

esperado.

Pero las cosas han cambiado, y la mayor densidad de usuarios y dispositivos, unida al uso de aplicaciones

en tiempo real que consumen gran cantidad de ancho de banda (p. ej., voz o vídeo) han hecho que

considerar solo la intensidad de la señal resulte inadecuado.

A la hora de diseñar una red para usuarios #GenMobile, también debe considerarse el número de

dispositivos, los tipos de aplicaciones y los requisitos de rendimiento necesarios dentro del área de

cobertura. En muchos casos en que un único punto de acceso (PA) hubiese proporcionado una cobertura

adecuada en el pasado, en la actualidad de necesitarían múltiples PA para atender a los nuevos requisitos

de capacidad de la red. En definitiva, el lugar de trabajo digital impone la necesidad de estudiar las

necesidades tanto de capacidad como de cobertura para el diseño de la Wi-Fi.

Soluciones a estos desafíos1. Wi-Fi estable acoplada a una red cableada de igual rendimiento

7




Tras considerar detenidamente el diseño de la red en función de los dispositivos que va a incorporar, de la

ubicación de los usuarios y de las aplicaciones que se van a usar —sin olvidar en ningún momento el aspecto

de la capacidad respecto de la cobertura— es hora de considerar el uso del tiempo de transmisión.

La FCC solo permite el uso de una determinada cantidad de radiofrecuencia (RF) en una red Wi-Fi. En

consecuencia, dicha RF deberá usarse del modo más eficiente y racional que sea posible. Son tantos los

trucos, consejos y factores que intervienen en el diseño de RF que podría elaborarse un informe técnico

completo sobre el tema. Aquí haremos todo lo posible por abordar los aspectos más destacados.

Con frecuencia, las radios de los dispositivos utilizan el espectro de 2,4 GHz a pesar del hecho de que la

mayor parte del ancho de banda reside en el espectro de 5,0 GHz. Utilizar principalmente el espectro de

2,4 GHz, haciendo caso omiso del ancho de banda abierto e inutilizado del espectro de 5,0 GHz, puede

ocasionar “congestiones de tráfico” innecesarias a los usuarios. Si bien son cada vez más las redes

que empiezan a utilizar el espectro de 5,0 GHz, existe un sorprendente número de redes Wi-Fi antiguas

diseñadas con la mayoría de clientes en el espectro de 2,4 GHz. El resultado final es una red similar a

una autopista en la que una parte concentra una gran densidad de tráfico mientras que otros carriles

permanecen incomprensiblemente vacíos.


8




Imaginemos ahora una situación distinta en la que el equipo de TI ha estudiado detenidamente los tipos

de dispositivos a los que deben dar cabida, así como sus requisitos de densidad y capacidad.

También ha configurado la red para reducir las ineficiencias en el uso del tiempo de transmisión y

seleccionado cuidadosamente el ancho de canal apropiado entre 20 y 40 MHz (los canales entre 80 y

160 MHz tienen solo un uso limitado en SOHO e, incluso en este caso, no suelen estar recomendados).

Este equipo de TI ha reducido el exceso de tráfico genérico (tráfico sin carga) disminuyendo el número

de SSID, eliminando las velocidades de transmisión bajas, reduciendo las interferencias entre canales y

eliminando los PA engañosos. Han implantado una política de calidad de servicio (QoS) para optimizar

el rendimiento de las aplicaciones en tiempo real, como voz y vídeo. Su red utiliza equidad en el tiempo

de transmisión para garantizar que unos pocos usuarios no puedan degradar el rendimiento global.

Además, el equipo ha estudiado detenidamente el uso de canales de selección de frecuencia dinámica

(DFS, por sus siglas en inglés), que ofrecen un ancho de banda considerable, pero con dos riesgos

asociados. El primer riesgo es que no todos los dispositivos son admiten estos canales. El segundo es

que la normativa gubernamental podría reservar estos conjuntos de frecuencias para eventos de radar,

inhabilitando temporalmente la Wi-Fi en estos canales.

El equipo de TI ha decidido mejorar la capacidad en sus áreas de alta densidad implantando el uso de

canales DFS, y superponiendo a su vez al menos un canal no DFS en todas las áreas de alta densidad

con vistas a mitigar ambos riesgos.

Por último, han supervisado detenidamente el tiempo de transmisión máximo de forma que la sobrecarga no

exceda el 5 % en ningún canal, que el uso de los canales de datos no exceda el 70% y que el uso de los canales

de VoIP/vídeo no exceda el 30 %. El resultado final del conjunto de medidas adoptadas en este escenario es

una red Wi-Fi que satisface todas las necesidades en cuanto a movilidad de los usuarios #GenMobile.


9




Del mismo modo que debemos adaptar el diseño de la red inalámbrica para dar cabida a las necesidades

de la comunidad #GenMobile y del lugar de trabajo digital, la infraestructura cableada también desempeña

un papel integral.

En el pasado, asignar una identidad a un puerto Ethernet implicaba la asignación de una VLAN específica

que no cambiaba prácticamente nunca. Los dispositivos que se conectaban a los puertos Ethernet casi

nunca se trasladaban (p. ej., nunca nos llevábamos nuestros PC de sobremesa ni traíamos nuestro

propio teléfono de VoIP al trabajo), y los puertos Ethernet de salas de reuniones o cubículos se

designaban por colores. Aunque usar cables o puertos de colores era una forma engorrosa de gestionar

la conectividad de los dispositivos digitales, los equipos de TI podían esquivar el problema dado que

muy pocos de estos dispositivos tenían que cambiar de identidad: todos eran “de confianza” mientras

permanecían dentro del perímetro físico del edificio corporativo.

Con la llegada de IoT y de la naturaleza “no de confianza” de estos dispositivos en la red empresarial,

se impone recurrir a una mejor forma de controlar el acceso a la red cableada. La opción consistiría

en asignar a todos y cada uno de los puertos una configuración tan pronto como se clasifique el tipo

de dispositivo en el momento de la conexión. En este modelo, los equipos de operaciones de red no

tendrían que pasar horas configurando los puertos de uno en uno ni llevando un seguimiento de qué

puerto se asigna a cada uso. Con este enfoque, ahora cualquier dispositivo puede conectarse a cualquier

puerto. En otras palabras, los puertos pueden “prescindir de los colores”.

Otra consideración importante en relación con el puerto de extremo antiguo es que, por lo general,

admitía un solo dispositivo a la vez y, por este motivo, una velocidad de 1 Gbps era más que suficiente.

Sin embargo, un PA admitirá numerosos dispositivos a la vez, lo que implicaría una preocupación de

que una velocidad de 1 Gbps pudiera dar lugar a embotellamientos. Podría haber cierto debate sobre

la capacidad de un PA de exceder el umbral de rendimiento de 1 Gbps en la actualidad, pero no existe

prácticamente desacuerdo sobre si los PA excederán la velocidad de 1 Gbps en los próximos seis años,

que es la esperanza de vida razonable de un conmutador de Ethernet. En consecuencia, los puertos

cableados multigigabit en el extremo deberían ser un componente de las compras de infraestructura

actuales como medida de protección de cara al futuro.

El continuo aumento de la congestión de tráfico en la capa de acceso de la red cableada requiere la

implementación de reglas de calidad del servicio (QoS) en la red troncal cableada. Las aplicaciones

cruciales para la empresa (p. ej., una cámara de seguridad cableada como dispositivo IoT) deben

clasificarse y priorizarse dentro de la red de alta capacidad para garantizar unos niveles de latencia

más bajos y una mayor velocidad de funcionamiento para los procesos empresariales.

Queda claro así que, hoy en día, a los equipos de redes de TI se les pide que hagan más con la misma

cantidad de recursos operacionales y de capital que han tenido durante años. Obviamente, el gasto

en TI es un factor que debemos incorporar a este debate, pues intentamos buscar el punto intermedio

entre la ubicua infraestructura Wi-Fi de alta capacidad y una red cableada más inteligente en el lugar de

trabajo digital.


10




Además de automatizar el control de accesos en tiempo real y la configuración QoS en los puertos

cableados, existe otra área en la que la infraestructura de acceso cableada puede mejorarse y permitir a

los equipos de operaciones de red incrementar sus ahorros operacionales: la implementación sin ajustes.

Estamos tan acostumbrados al hecho de que los puntos de acceso Wi-Fi puedan implementarse casi sin

esfuerzo —gracias a los controladores Wi-Fi y a las plataformas de gestión— que a veces olvidamos la pérdida

de tiempo que pueden suponer las horas dedicadas a instalar y habilitar conmutadores de acceso cableado.

Puesto que la red cableada es un ingrediente esencial de cualquier proyecto de Wi-Fi, es fundamental que

la implementación inicial de los puertos de acceso cableado se automatice, con una gestión centralizada de

su configuración, del mismo modo que los puntos de acceso Wi-Fi. Esto se aplica tanto si la implementación

tiene lugar en el campus como en ubicaciones remotas.

El aumento significativo de la cultura BYOD trae consigo una ventaja clave en términos de ahorro en

gastos de inversión; un rápido descenso del uso de equipos de sobremesa y teléfonos VoIP cableados.

Con este cambio, ya no necesitamos adaptar los bastidores de los puntos terminales a la expectativa

de dos o tres salidas cableadas por oficina o cubículo. Para resumir, necesitamos menos puertos, lo que

permite derivar una parte del presupuesto de TI a satisfacer las demandas de la comunidad #GenMobile.

Adicionalmente, y dado que los usuarios pasan de los dispositivos cableados a los inalámbricos, y los

servidores —antes conectados a un punto central— se trasladan a centros de datos, surge toda una

oportunidad de ahorro en la infraestructura LAN corporativa. En muchos casos, existe la posibilidad

de migrar a un diseño de dos niveles (extremo y punto central) por contraposición al diseño más

convencional de tres niveles (extremo, distribución y punto central). Una vez más, esto genera un

ahorro de costes en la infraestructura cableada que puede destinarse a abordar los nuevos requisitos

de conectividad en el lugar de trabajo digital.

Lista de comprobación de recomendaciones1. Documentar el conjunto básico de aplicaciones cruciales y la combinación de dispositivos

2. Clasificar de forma dinámica cada dispositivo de la Wi-Fi y de las partes cableadas de la red

3. Planificar la cobertura y la capacidad

4. Reducir el número de SSID e inhabilitar las velocidades más bajas siempre que sea posible en

las radios Wi-Fi

5. Usar canales DFS para superponer canales no DFS a fin de aumentar la capacidad en la Wi-Fi

6. Aplicar políticas QoS en las redes Wi-Fi y cableadas para mejorar el rendimiento de las aplica-

ciones en tiempo real

7. Supervisar el uso de canales y habilitar la equidad del tiempo de transmisión en las radios Wi-Fi

8. Implementar puertos cableados 802.3at PoE+ y multigigabit como medida de protección futura


11





2. Obtener una mayor visibilidad de la experiencia de usuario de extremo a extremo: Proactividad frente a reactividad

En la última sección, explicamos que identificar y entender los tipos de dispositivos, la planificación de

cobertura frente a capacidad y el uso del tiempo de transmisión tiene un efecto directo en la experiencia

de usuario. Esto nos plantea una serie de preguntas como:

• ¿Cómo podemos controlar estos indicadores críticos?

• ¿Cómo averiguamos qué umbrales indican una experiencia de usuario deficiente?

• Aparte de la Wi-Fi, ¿qué otros factores podrían afectar negativamente a la experiencia de usuario?

• ¿Cómo podemos, no solo recopilar los datos, sino también solucionar el problema antes de que el

usuario sepa incluso que se ha producido?

Para ofrecer la mejor experiencia de usuario posible, los departamentos de TI deben ser capaces de

predecir, en lugar de reaccionar. Recoger indicadores clave de RF (p. ej. niveles de interferencia, número

de dispositivos, principales orígenes de flujo, índices de reintento e intensidad de la señal) pueden ser

de gran ayuda en estas predicciones.

Estos indicadores pueden recogerse a través de PA de producción o de monitores dedicados, y por

lo general se visualizan en un panel de control o en un software de monitorización de la Wi-Fi. Los

monitores pueden recoger más datos en más canales en un periodo de tiempo más breve que los PA de

producción; un factor esencial a la hora de pasar de la reactividad a la proactividad. Si bien estos datos

pueden usarse para supervisar el estado general del entorno Wi-Fi, obtener una instantánea exacta de

la experiencia de usuario precisará una mayor incursión.

Supervisión básica del estado de clientes y puntos de acceso

12




Soluciones a estos desafíos2. Obtener una mayor visibilidad de la experiencia de usuario de extremo a extremo: Proactividad frente a reactividad

Aquí es donde entra en escena la recopilación de datos de aplicaciones. Es importante conocer

plenamente las aplicaciones usadas con más frecuencia y el tráfico web de la red, pues ambos son

indicadores cruciales de los patrones de uso general. A partir de ellos, podemos definir las aplicaciones

cruciales, crear políticas QoS, controlar el etiquetado QoS, configurar las colas QoS y, por último,

garantizar que todas las aplicaciones cruciales estén obteniendo el ancho de banda y el acceso prioritario

necesarios para ofrecer una experiencia de usuario inmejorable.

La clase de aplicaciones que se asocia más comúnmente con los usuarios #GenMobile son las UCC (del

inglés, Unified Communication and Collaboration) y, como tales, merecen una mención especial. Las

aplicaciones permiten las comunicaciones de voz y de vídeo, así como el uso compartido de documentos

y la colaboración, y son esenciales para impulsar la productividad en un lugar de trabajo que conceda

prioridad a la movilidad. Puesto que las aplicaciones UCC operan en tiempo real y requieren un alto

grado de calidad de vídeo, son las que suponen mayor carga en la red sea cual sea su uso. Se considerará

que una organización capaz de ofrecer una aplicación UCC a los dispositivos móviles de sus empleados

cumple con éxito los estándares como lugar de trabajo digital centrado en la movilidad

Visibilidad de la calidad de las aplicaciones móviles, incluidas las comunicaciones unificadas

13




Adiós a los días en que era necesario compilar indicadores de red en tablas, hojas de cálculo o bases de

datos. Los equipos de TI de hoy en día requieren mapas visuales fáciles de interpretar y que permitan

ver todos los datos en una única pantalla. Adoptar un enfoque proactivo —en lugar de reactivo— significa

poder obtener una vista en tiempo real de todo el entorno de RF, así como de la red cableada subyacente,

de la ubicación de los usuarios, del estado y rendimiento de sus aplicaciones en estas ubicaciones y de

los posibles dispositivos corruptos o eventos de intrusión.

Para poder evaluar la experiencia de usuario integral, debe considerarse el tiempo que un usuario tarda en

recibir el primer paquete de datos en la primera conexión y después de cada evento de itinerancia. Lo más

importante es el tiempo total necesario para incorporarse a una red inalámbrica, autenticarse en un servidor

RADIUS (del inglés, Remote Authentication Dial-In User Service), obtener una dirección IP utilizando DHCP,

resolver los nombres de host con DNS y transmitir un primer paquete de datos. Si no fuéramos capaces de

identificar y seguir cada paso del proceso, sería como hacer caso omiso al eslabón más débil de una cadena

y no dejar de preguntarse por qué continúa rompiéndose. Por lo tanto, la próxima generación de herramientas

de supervisión deberá asistir en la evaluación de este rendimiento integral (de extremo a extremo). Además,

de descubrirse problemas, dichas herramientas de supervisión deberían permitirnos usar nuestros PA como

clientes para realizar pruebas sintéticas bajo demanda del conjunto de la experiencia de usuario.

Análisis predictivo de la experiencia integral de usuario en la red

Supervisión en vivo del uso de aplicaciones, la densidad de dispositivos y la calidad de la transmisión


14




El aspecto final de la proactividad frente a la reactividad corresponde al componente de notificación.

Una vez que podamos revisar fácilmente los indicadores y definir lo que es aceptable para los usuarios

#GenMobile y su lugar de trabajo, necesitamos poder definir umbrales y crear alarmas que notifiquen

al equipo de TI antes de que se alcancen dichos límites. En un universo auténticamente #GenMobile,

los administradores de TI tienen tanta movilidad como los usuarios y, por lo tanto, las notificaciones

deben enviarse directamente a los dispositivos móviles, y activar una respuesta antes incluso de que el

usuario sea consciente de que se ha producido un problema.

Los mismos procesos que nos permitirán resolver de manera proactiva los problemas de red también

nos ofrecerán ventajas para aquellas ocasiones en que un departamento de TI deba reaccionar ante un

problema. Dada la enorme cantidad de datos que se podrá recopilar, los problemas podrán enviarse al

nivel 1 de asistencia técnica, en lugar de a otros equipos de soluciones de nivel superior y más costosos.

Y, en las contadas situaciones en las que se precise un nivel de asistencia superior, la cantidad de indicadores

que podremos proporcionar servirá como punto de partida al equipo en cuestión.

Lista de comprobación de recomendaciones1. Recopilar información sobre el rendimiento de las aplicaciones, además de indicadores básicos

de la Wi-Fi

2. Habilitar análisis forenses y de tendencias para adquirir una mayor visibilidad de toda la

experiencia de usuario

3. Disponer de un método para estimular sintéticamente el rendimiento de la red y las pruebas de

conectividad

4. Definir los umbrales y sus alertas asociadas para hacer posible una respuesta proactiva

5. Crear un proceso que establezca recurrir a la asistencia técnica de nivel 1 cuando se requiera

una respuesta reactiva


15





3. Habilitar los numerosos usos de BYOD e IoT de forma segura

Hemos hablado de cómo diseñar una red fiable, de la importancia de supervisar la red de manera

proactiva y de la necesidad de reaccionar eficazmente ante una incidencia. Los siguientes pasos para

garantizar una experiencia positiva tienen que ver con proteger la red. Esto requiere tres pasos básicos:

• Elaborar políticas y reglas bien meditadas.

• Inspeccionar todas las solicitudes de acceso conforme a las políticas.

• Denegar o conceder permisos en consecuencia.

Dada la amplia variedad de tipos de dispositivos, tipos de usuarios y aplicaciones, el control de accesos a la

red (NAC, por sus siglas en inglés) debe diseñarse según cada caso concreto. A continuación se presentan

los elementos clave para proteger un lugar de trabajo digital basado en la movilidad.

Comencemos por el caso de uso más frecuente, que consiste en conceder acceso de red a los empleados

que utilicen un dispositivo corporativo o BYOD. El objetivo es proporcionar acceso a la red cableada,

inalámbrica o VPN de la forma más fácil y uniforme posible, sin múltiples métodos de acceso, credenciales

o pantallas de inicio de sesión.

En este sentido, la solución que se está utilizando como estándar es una plataforma NAC con auten-

ticación 802.1X, revelándose el uso de EAP-TLS con certificados como la metodología más segura. La

autenticación a menudo se basa en un nombre de usuario y contraseña, y está asociada a almacenes de

usuario tales como Active Directory o LDAP. Para mayor seguridad, algunas empresas están implementando

la autenticación multifactorial, que podría consistir en una pregunta secreta, huella dactilar, reconocimiento

de voz, fotografía o ubicación física.

Además del usuario, el propio dispositivo puede incluirse como parte de la política de acceso a la red. En

el caso de dispositivos corporativos, esta política de seguridad podría basarse simplemente en una

dirección MAC, o podría incluir la presencia de un agente de software de gestión de dispositivos móviles

(MDM) instalado en el dispositivo. En el caso de los

dispositivos BYO, podría basarse en las versiones de

SO, en el modelo de dispositivo o en la presencia de

una solución de gestión de aplicaciones móviles (MAM).

Las soluciones de gestión de dispositivos y aplicaciones

móviles pueden segmentar los datos personales

procedentes de las aplicaciones y datos corporativos

para mantener la red protegida, o pueden utilizarse

para ayudar a crear y aplicar listas de exclusión de

determinadas aplicables o servicios “poco fiables”.

16




Soluciones a estos desafíos3. Habilitar los numerosos usos de BYOD e IoT de forma segura

Otra situación de uso frecuente sucede cuando se solicita acceso a la red para un invitado que desea

utilizar Internet, la impresión y otros servicios básicos. Estos “no empleados” pueden ser visitantes,

clientes, contratistas, socios comerciales, compradores, etc.

El acceso a estos invitados debe proporcionarse de forma segura y eficaz. Las opciones de registro

generalmente incluyen soluciones basadas en portales, como autorregistro o invitación de empleados,

que en ambos casos reducen la carga de los administradores de TI. Una vez registrados, los usuarios

generalmente obtienen sus credenciales por correo electrónico o mensaje de texto, pudiendo iniciar

sesión y acceder a una VLAN segura que les proporciona acceso de red ilimitado.

Otro ejemplo de uso para acceso de invitados sería el de unas instalaciones de alta capacidad, como

un aeropuerto, polideportivo o centro comercial. En este caso podría usarse una simple cuenta de

“aceptación de uso” o, como alternativa, podría requerirse el inicio de sesión a través de una red social.

En algunos casos, la autenticación abierta también podría ser una opción. En todas estas situaciones, la

WLAN para invitados debe estar 100 % aislada de la red corporativa, generalmente mediante el uso de

políticas basadas en funciones, aplicadas con seguridad de cortafuegos integrada en la red.

Portales web intuitivos y diseñados a medida para ayudar a los usuarios a conectar sus dispositivos a la red

17




La necesidad de acceso a la red para ‘no empleados’ se deriva del crecimiento de la IoT. Aunque estos

dispositivos son “headless” —no gestionados por un humano— aún precisan acceso a la red. Las

organizaciones deben desarrollar para IoT políticas basadas en funciones que sean distintas de las

políticas de sus empleados e invitados. Podrían incluso requerir varias políticas para hacer frente a la

gran variedad de dispositivos IoT que se conectan a la red.

Los perfiles de dispositivo y la lectura de huella dactilar, ya importantes en la seguridad de las redes, son

medidas que han pasado a ser cruciales con los IoT. Cada vez que un dispositivo intenta conectarse a la

red, es necesario comprobar automáticamente su perfil. Esto significa saber qué tipo de dispositivo es y

qué función desempeña en la empresa, con vistas a permitir la aplicación de la política de seguridad

apropiada. En el caso de que la red se encuentre con un dispositivo cuyo perfil no pueda comprobarse

automáticamente, dicho dispositivo se pondrá en cuarentena hasta que se pueda obtener más información.

Clasificación automática de los dispositivos de la red

Además de los problemas de seguridad relacionados con NAC, existen otros problemas de seguridad

que deben tomarse en consideración en cualquier red. En primer lugar de la lista, las intrusiones.

Juntos, un sistema de detección de intrusiones inalámbricas (WIDS) y un sistema de prevención de

intrusiones inalámbricas (WIPS) ayudan a identificar las posibles amenazas a la infraestructura de PA o

a los clientes relacionados.

Una solución WIDS/WIPS sofisticada, eficaz y fácil de gestionar debe proporcionar al administrador de

red los medios necesarios para identificar, evaluar y defenderse de los ataques, manteniendo a su vez

una experiencia segura, ininterrumpida y libre de incidencias para el usuario #GenMobile. Y, lo que es

más: el sistema WIDS/WIPS debe permitir un alto grado de personalización, pues los requisitos y normas

que se aplican a cada red pueden variar significativamente según se trate de un centro de conferencias,

una institución financiera o una agencia gubernamental.


18




Otra gran preocupación en torno a la seguridad de las redes son el software malintencionado (malware)

progresivo o los ataques persistentes. Se trata de amenazas en las que, una vez que una persona

obtiene acceso a la red, puede permanecer en ella durante largos periodos de tiempo y lanzar

múltiples ataques; más que para provocar daños en la red, generalmente se utilizan para robar datos.

Los cortafuegos y el software antivirus antiguos no son rivales para este tipo de ataques. La solución

reside en una protección de próxima generación que integre sin fisuras distintos productos que se

encarguen de la detección, mitigación y prevención. Esta protección debe ofrecerse en la capa de

aplicaciones, ya que la seguridad convencional basada en puertos no es suficiente.

Estos nuevos sistemas de seguridad deben integrarse con plataformas de políticas de acceso de red, a

fin de aplicar políticas en tiempo real para el acceso a las redes Wi-Fi y cableada en caso de identificarse

ataques internos o externos. Mientras que las soluciones NAC convencionales solo se preocupaban de la

conexión inicial de los dispositivos Wi-Fi y cableados, las soluciones de gestión de políticas de próxima

generación deberán actuar ante la creciente postura de riesgo de los dispositivos conectados cuando

se identifiquen actividades malintencionadas.

Lista de comprobación de recomendaciones1. Crear políticas de acceso a la red utilizando un amplio contexto de tipo de dispositivo, estado,

usuario, tiempo y ubicación

2. Usar la comprobación del perfil de dispositivo para conectar los dispositivos IoT a la red, o

ponerlos en cuarentena si fuera necesario

3. Implementar una única plataforma para gestionar el control de accesos a las redes cableada,

inalámbrica y VPN

4. Para los empleados, usar 802.1X EAP-TLS combinada con la autenticación multifactorial

5. Para el acceso seguro de invitados, aplicar políticas de cortafuegos en la red

6. Implementar una política, procedimiento y solución de detección y/o prevención de intrusiones

inalámbricas

7. Integrar una solución de protección frente a amenazas de próxima generación en la plataforma

de gestión de políticas


19





4. Ofrecer aplicaciones y colaboración en la nube desde cualquier ubicación

El componente final en la experiencia integral del usuario es la aplicación en sí misma. Por supuesto, no hay dos redes u organizaciones con las mismas necesidades en cuanto a aplicaciones. Sin embargo, existe una serie de principios básicos que se aplican a la mayoría de situaciones.

La arquitectura convencional de cliente/servidor ya no resulta adecuada para las redes centradas en la

movilidad. Este modelo se diseñó para ofrecer archivos e información desde un único servidor a un PC

conectado a la misma LAN u, ocasionalmente, a la misma WAN. Si bien los PC eran lo suficientemente

robustos como para permitir el almacenamiento local de grandes aplicaciones, este ya no es el caso con

los dispositivos móviles. Y este es el motivo por el que ahora demandamos una entrega racionalizada y

centralizada de las aplicaciones.

Además, los usuarios a menudo ya no comparten LAN con el servidor. Un martes determinado, un usuario

podría estar trabajando desde casa y teniendo que acceder a una aplicación desde una tableta utilizando

una conexión a Internet cableada. El miércoles, ese mismo usuario podría estar viajando o visitando a

clientes, y teniendo que acceder a la misma aplicación desde un teléfono inteligente a través del servicio

móvil 4G. El viernes, el usuario podría estar supervisando operaciones en distintas oficinas remotas, y

teniendo que usar la WAN corporativa para conectarse de forma segura a dichas aplicaciones.

A pesar de que cada uno de estos escenarios precisa su propio diseño de infraestructura de red, el

usuario requiere que su experiencia sea coherente en todas las combinaciones posibles de métodos de

acceso, tipos de dispositivos y ubicaciones. Satisfacer este requisito pasa por mover las aplicaciones a

una ubicación centralizada y utilizar servidores virtuales; un concepto de red razonablemente sencillo

que ofrece numerosas ventajas para las redes centradas en la movilidad.

“Aplicaciones disponibles desde una ubicación centralizada” es la forma no abreviada de llamar a las

aplicaciones en la nube. Las aplicaciones en la nube son posibles gracias al uso de grupos de servidores

virtuales y centros de datos, y pueden estar disponibles en una nube pública o privada. Las aplicaciones

de nube privada se sirven desde un centro de datos de propiedad y gestión interna, y solo los usuarios

que hayan obtenido acceso a la red pueden usar dichas aplicaciones. La clara ventaja de usar un centro

de datos privado radica en la capacidad de mantener los protocolos de QoS y de seguridad habilitados en

todo el trayecto desde el cliente a los servidores de aplicaciones, mientras que la ventaja característica de

las aplicaciones de nube pública reside en su eficiencia de costes y su facilidad de acceso. Dada la gran

cantidad de opciones al alcance de la mano, cada organización debe decidir qué combinación de aplicaciones

de nube pública y privada se ajusta mejor a sus necesidades específicas y a su presupuesto.

20




Cuando las organizaciones deseen explorar nuevos territorios geográficos para sus negocios, cuanto

antes se trasladen a sus nuevas ubicaciones y restablezcan la conexión con los recursos corporativos,

antes podrán materializar su recuperación de la inversión. La infraestructura de red no puede entorpecer

las actividades comerciales desarrolladas en estos sitios remotos.

Las organizaciones de TI pueden usar herramientas basadas en tecnologías de nube para instalar la

infraestructura con tanta rapidez como se puede habilitar a un trabajador remoto con un dispositivo

móvil y conectarlos a una aplicación en la nube. Con el paso al lugar de trabajo digital, es probable que

las organizaciones dispongan de componentes de infraestructura remotos que ya no necesitan (p. ej.,

rúters de costoso mantenimiento que ya no serán necesarios si se abandonan los enlaces MPLS en

favor de la banda ancha en ubicaciones remotas). Eliminar dichos componentes generará un ahorro de

costes que podrá destinarse a la implementación de plataformas integradas que puedan ofrecer servicio

WAN, LAN y WLAN a la hora de conectar la banda ancha de Internet en estas ubicaciones secundarias.

Soluciones a estos desafíos4. Ofrecer aplicaciones y colaboración en la nube desde cualquier ubicación

Lista de comprobación de recomendaciones1. Diseñar una plantilla de red para la conectividad doméstica y de pequeñas oficinas y sucursales

2. Implementar un sistema de uso sencillo para la conectividad de usuarios con alto índice de

desplazamientos en puntos 4G, LTE y Wi-Fi

3. Crear una lista de las aplicaciones disponibles para usuarios remotos en nubes privadas y públicas

4. Definir claramente los indicadores de red con que se cumplen las expectativas de los clientes y

supervisarlos en tiempo real

5. Implementar una estrategia QoS integral para sus aplicaciones de nube privada, principalmente

para comunicaciones unificadas

6. Negociar detenidamente y entender los acuerdos de nivel de servicios (SLA) de las aplicaciones

de nube pública

21





5. Aprovechar la tecnología BLE (Bluetooth Low Energy) para la interacción móvil en el interior de lugares públicos

Los servicios basados en localización y la interacción móvil son un aspecto cada vez más importante de

la experiencia digital para la comunidad #GenMobile. La capacidad de interactuar con clientes y

empleados de forma contextualizada mediante capacidades como notificaciones push específicas o

indicaciones giro a giro ofrece una amplia variedad de ventajas tanto para la experiencia de usuario

como para los resultados de la organización.

Bluetooth Low Energy (BLE) es la tecnología idónea para los servicios basados en localización de

interior. Al operar en la frecuencia de 2,4 GHz, las balizas BLE ofrecen un alcance típico de unos 200

pies, y pueden ofrecer información de localización precisa (margen de error de 1 pie). Al combinarse

con una aplicación móvil bien diseñada, instalada en una tableta o teléfono inteligente, puede utilizarse

como dispositivo cliente dentro de una red con balizamiento BLE. Creemos que el valor de la información

basada en la localización llegará a ser prácticamente ilimitada, dado que las interacciones entre teléfonos

inteligentes e IoT siguen en aumento.

Las balizas BLE son fáciles de implementar y utilizar, pero las implementaciones de gran envergadura

pueden introducir desafíos operacionales en términos de gestión, como cambios de batería y adaptaciones

a los niveles de potencia, etc. Para superar estos desafíos y eliminar el tiempo y los costes asociados

a la gestión manual, las organizaciones interesadas en las balizas BLE deberán buscar soluciones que

incluyan sensores y otras capacidades de gestión remota.

Gestión centralizada de balizas BLE

22




Soluciones a estos desafíos5. Aprovechar la tecnología BLE (Bluetooth Low Energy) para la interacción móvil en el interior de lugares públicos

Aquellas organizaciones que carezcan de los recursos necesarios para desarrollar sus propias aplicaciones

móviles desde cero tienen a su disposición una amplia variedad de plantillas que pueden utilizar. Para

aquellas organizaciones que dispongan de una aplicación pero deseen añadirle servicios basados en

localización, existen complementos SDK para funciones tales como navegación o marketing contextual.

Algunos de los casos de uso más frecuentes de los servicios basados en localización incluyen:

• Ofrecer una experiencia de “punto azul” (localización de la propia ubicación) en un mapa para

ayudar a los usuarios a desplazarse por sus instalaciones con indicaciones giro a giro

• Permitir que los usuarios encuentren a amigos y compañeros de trabajo de forma rápida y fácil

• Permitir que los clientes encuentren fácilmente a sus empleados cuando necesiten ayuda

• Enviar notificaciones push a los clientes en función de su ubicación actual y de sus hábitos de

compra en el pasado

• Ofrecer servicios de pago automático, acceso a habitaciones y control de temperatura para los

huéspedes de hoteles

• Encender automáticamente las luces y otros servicios al entrar y salir los empleados de las

habitaciones

Lista de comprobación de recomendaciones1. Definir claramente los casos de uso de BLE para habilitar los servicios basados en localización

2. Empezar a colaborar con un socio programador de aplicaciones, concediendo una prioridad clara a la

mejora de la experiencia de usuario

3. Crear un plan y estrategia para definir cómo interactuará su aplicación móvil con los

dispositivos IoT

4. Usar la gestión centralizada de balizas BLE parar reducir los costes operacionales



¿Qué aspecto tiene una red #GenMobile?



Conclusión

Sea cual sea su tipo de empresa —de servicios financieros, gubernamentales y sanitarios a educación, comercio, alojamiento o facturación, la comunidad #GenMobile está influyendo en su forma de hacer negocios y en el tipo de infraestructura de red que necesita.

En este documento hemos abordado algunos de los desafíos que presentan la comunidad #GenMobile

y la transición al “lugar de trabajo digital” para las organizaciones de todos los mercados, y analizado

algunas de las revisiones a dichos problemas. Las empresas con visión de futuro asimilarán esta

información y colaborarán con especialistas en movilidad —ingenieros y arquitectos de red— para

encontrar enfoques detallados y personalizados a sus tipos de uso. Al hacerlo, podrán disfrutar de

una serie de ventajas que abarcan desde una mejor comunicación y colaboración hasta una mayor

productividad, pasando por una reducción de las inversiones y de los gastos operacionales.

preparación de la infraestructura de ti para el lugar de ... · wi-fi estable acoplada a una red...

Documents