PACS 2.0 es basado en nube, centrado en IT, agnóstico a tokens … ¿pero será más barato?
07 May, 2016
category: Biometría, Identificación digital, NFC, Sin contacto, Tarjetas Inteligentes
A medida que la Internet de las Cosas continúa su rápida evolución, desde los refrigeradores hasta los cepillos de dientes se están conectando a la nube. Sería lógico suponer que la seguridad física seguiría rápidamente la misma tendencia. Pero en materia de seguridad física nada es ágil.
Muchos líderes de la industria anuncian a los sistemas de control de acceso físico basados en nube como la próxima generación. Alegan que la nube le puede proporcionar a los usuarios finales una mejor funcionabilidad y una escalabilidad ilimitada, a menor costo y con menos mantenimiento que los sistemas tradicionales.
Los sistemas de control de acceso físico de nueva generación han comenzado a pasar de una arquitectura tradicional centrada en hardware a métodos más nuevos basados en software, pero los sistemas tradicionales aún predominan en las implementaciones. Los indicadores sugieren que esto está cambiando.
Según un libro blanco de 2015, con el administrador de seguridad y control de acceso Viscount Systems la potencia informática es mayor en 30,000 veces de lo que era hace tres décadas, y la velocidad de la comunicación alámbrica se ha incrementado en más de 10,000 veces.
El informe destaca que ya no existen las limitaciones tecnológicas que requerían sistemas de inteligencia distribuida centrados en hardware, pero que aún la arquitectura de control de acceso se mantiene igual en su mayor parte, restringiendo a los clientes con limitaciones innecesarias y sistemas centrados en hardware.
Existen diversos grados de “nube” en los PACS basados en nube, y las definiciones son numerosas y variadas. Algunos productores de control de acceso físico han movido hacia la nube el componente de servidor de base de datos de la arquitectura, pero dejaron en sus dependencias en una instalación protegida la capacidad para otorgar o negar acceso al hardware tradicional. Otras soluciones están eliminando prácticamente todo el hardware – incluso el lector de acceso de la puerta – de la ubicación física a un funcionamiento completo en nube.
Aún así, existen preocupaciones tanto reales como percibidas acerca de los sistemas de control de acceso físico basados en nube, y cambiar de un sistema local o con acceso gestionado hacia una arquitectura basada en nube, no es una decisión fácil.
“Mucho de lo que estamos observando en la industria de seguridad con relación a los PACS basados en nube es generacional. La gente lo ha estado haciendo al viejo estilo durante 20 ó 30 años, y muchos modelos industriales siguen siendo muy resistentes al cambio”, explica Steve Van Till, director general y fundador de Brivo, proveedor de sistemas de seguridad.
Aún así, señala Van Till, es solo cuestión de tiempo para que las cerraduras comerciales pasen a ser inalámbricas, lo que hará que resulte común que las puertas estén conectadas a Internet. “Pienso que para ese momento el rol de la nube sea algo implícito”, comenta.
Él alude a un punto interesante. La industria de control de acceso ha evolucionado, a veces con reticencia, de lo mecánico a lo electrónico, de proximidad a sin contacto, y de Weigand a IP. ¿Acaso la nube es sencillamente la próxima gran migración para el control de acceso físico?
PACS en nube vs. heredados
Tanto con los sistemas heredados como los basados en nube, la infraestructura en la puerta es relativamente la misma. La diferencia fundamental es el sitio donde se mantiene la base de datos de acceso, explica Rajeev Kak, director de marketing de Cloudastructure, una compañía que ofrece control de acceso basado en nube.
- PACS heredados: La base de datos reside en la propia compañía dentro de un controlador conectado a una computadora o una red local. Cuando una compañía necesita añadir o modificar un empleado o un contratista, un administrador con suficientes privilegios se conecta en una estación local en las propias instalaciones.
- PACS basados en nube: La base de datos reside en la nube, con una copia caché local en el controlador que se refresca con frecuencia, en plazos de tiempo de segundos o minutos. Una ventaja es que el administrador puede gestionar el sistema y modificar los niveles de acceso desde cualquier lugar y desde cualquier dispositivo sin tener que estar físicamente cerca de la puerta o edificio.
La similitud entre las dos arquitecturas es que la infraestructura en la puerta es típicamente la misma. Para operar cualquiera de los sistemas, el usuario presenta una credencial – tales como una tarjeta de acceso o una credencial – a un lector de puerta. Este captura un número de identidad digital de la credencial. Ese número es transmitido a un controlador, que lo chequea en una base de datos para verificar el acceso y después responde al controlador de la puerta con una señal de “desbloqueo” o de “no acceso”.
La ubicación de la base de datos – local o en la nube – es la diferencia esencial entre PACS heredados y PACS basados en nube.
Como un sistema tradicional requiere estar conectado a una computadora o a una red local dentro del edificio, la geografía y el número de puertas que puede controlar son factores limitantes. “Lo bueno de una base de datos basada en nube es que uno no está limitado por un edificio o ubicación únicos”, comenta Kak.
Un sistema basado en nube permite gestionar las puertas en múltiples edificios, en diferentes ciudades, y todo ello desde una sola base de datos. Desde ese sistema único, Kak explica que un grupo de empleados podría tener acceso a las puertas delanteras de sus oficinas en San Francisco, Londres y Los Angeles. Aunque esta funcionalidad podría lograrse en sistemas tradicionales, es mucho más eficiente en las ofertas basadas en nube.
Pero la ubicación de la base de datos no es el único factor definitorio para los PACS basados en nube.
Es una combinación de hardware, infraestructura como servicio y plataforma como servicio, que permite que la redundancia, el almacenamiento y las bases de datos escalen sin añadir hardware extra, explica Patrick Barry, director general de BluBOX, un proveedor de acceso físico basado en nube. “Con cliente-servidor, hay que invertir en muchísima infraestructura. Con nube, no”, señala.
Barry considera que es tiempo de que la industria abandone la arquitectura heredada, en la cual todos los servidores y hardware están situados localmente en las instalaciones que están siendo protegidas.
“Es una tecnología que tiene 35 años, y el resto del mundo ha seguido hacia adelante”, señala. “Vivimos nuestras vidas todos los días en la nube – realizamos todas nuestras adquisiciones, compramos entradas para el teatro, hacemos transacciones bancarias – y ya hace bastante tiempo que está siendo así. La industria de seguridad tiene que salir de la vieja arquitectura y adoptar lo que ya todo el mundo ha adoptado”.
Evolucionan la arquitectura, las actitudes
Con los sistemas locales, los departamentos informáticos internos crean y mantienen in situ los servidores y la infraestructura para sus organizaciones. Es la forma en que siempre han sido las cosas, pero puede resultar una forma cara de hacer las cosas.
Como los PACS basados en nube eliminan la necesidad de servidores y equipos in situ, así como los hombres-hora requeridos para respaldarlos, el costo de la propiedad puede ser menor.
Brivo ha estado suministrando control de acceso físico basado en nube desde el año 2001 y a menudo se le acredita haber liderado el desplazamiento de la industria de seguridad hacia la nube.
Brivo pronto aprendió que la industria de seguridad no está configurada para permitirle a los proveedores que le vendan directamente a los usuarios finales. Van Till se dio cuenta que Brivo tendría que seguir el modelo de canal y pasar por integradores y concesionarios para vender el producto. Pero ese modelo de larga data colocó a la industria detrás de una fuerte barrera de criterios arraigados en cuanto a qué es seguro y en qué debe confiarse. “Pasamos cinco o seis años evangelizando la nube y simplemente haciendo que la gente entendiera que en realidad es más segura que muchas de las instalaciones locales que la gente estaba utilizando”, explica Van Till. Para Brivo, esta seguridad añadida incluye seguridad de nube de alto nivel y una huella muy limitada en las instalaciones. En una ubicación de clientes de Brivo aún existe un dispositivo embebido en microcomputadora y un controlador. Una pequeña caja negra, aproximadamente del tamaño de dos iPhones uno encima del otro, conecta la puerta a Internet. En septiembre la compañía lanzó Brivo Mobile Pass, que reduce aún más la necesidad de tener equipamiento local. La credencial de identidad es transmitida del teléfono directamente a la nube, se toma la decisión de acceso, y la nube le ordena a las puertas que se desbloqueen o que nieguen el acceso. En esa nueva arquitectura no hace falta un lector de tarjetas en la puerta. La tecnología ha sido bien acogida por los distribuidores, que ven que ahora pueden controlar las puertas sin utilizar lectores. Esto significa que no tienen que tirar cables y pueden ahorrar dinero en la instalación.
“Ellos ven una ventaja económica en los sistemas que no los obligan a tener un lector directamente en la puerta”, dice Van Till. Cloudastructure también está utilizando infraestructura basada en nube para proveer control de acceso físico como servicio, lo que suele abreviarse como ACaaS. Kak dice que el negocio ha experimentado muchos avances por parte de colegios y universidades, y proveedores de servicios públicos y telecomunicaciones que tienen subestaciones en lugares remotos. Kak dice que los escenarios multi-locaciones con múltiples personas monitoreando, ilustran un ejemplo perfecto de cómo la nube se diferencia de los sistemas tradicionales. Anteriormente cada subestación necesitaba DVR para video y controladores PACS en cada dependencia. Proveer acceso remoto requería crear espacios en el firewall de cada ubicación, explica. “Cuando uno hace esto en la nube, la huella resulta mucho más ligera. Uno puede ejecutar la gestión de las ubicaciones y las subestaciones de forma mucho más intuitiva”, señala. Además, los sistemas basados en nube son mucho más fáciles de escalar, y pueden manejar más edificios y más puntos de entrada”. La entidad física del edificio – lo que siempre ha sido la restricción en el sistema tradicional – se elimina cuando se hace en la nube”, dice Kak. En lugar de manejar 20 minutos a la oficina, un administrador de sistema desde su puesto puede otorgar de manera segura el acceso a un contratista, añade Kak.
Se afianza el control de acceso como modelo de servicio
Además de la facilidad en el uso de la nube y costos más bajos de propiedad y IT, está desarrollando un nuevo modelo de negocios para el control de acceso como servicio en el espacio de los PACS. Van Till plantea que el control de acceso basado en nube ha creado la oportunidad para nuevos y repetidos flujos de ingresos mensuales (RMR) para los distribuidores que instalan. “Ese es posiblemente el elemento más poderoso de motivación para que el canal comience a adoptar esta nueva generación de control de acceso”, señala.
El interés en el control de acceso como servicio parece estar creciendo. Según estimados de la firma de investigación de mercado IHS Technology, las puertas gestionadas representaron solamente un 3% del total de nuevas puertas controladas en las Américas en el 2013. Esto significa que este año se adicionaron 80,000 nuevas puertas que emplean control de acceso como servicio. IHS predice que para el 2018, se controlarán 1,8 millones de puertas mediante control de acceso como servicio.
Rajeev Dubey, gerente senior de productos en Tyco Security Products, se encarga de la línea Kantech de productos de control de acceso. Él plantea que la gente está comenzando a ver la seguridad como una especialidad, tratando de externalizarla por completo a terceros. Esto hace que resulte crucial el modelo alojado o gestionado de acceso.
“Los clientes quieren enfocarse en el funcionamiento de su negocio, más que enfocarse en la seguridad”, señala Dubey.
La integración de control de acceso Kantech de Tyco tiene un sistema basado en nube llamado Hattrix, que aloja decenas de miles de puertas en una arquitectura alojada y gestionada. Hace cuatro años, el sistema alojado y gestionado de Hattrix representaba solo el 2% de las puertas vendidas a través de Kantech, pero en el 2015 abarcaba el 10% de las puertas vendidas.
Van Till estima que el 5% de las nuevas puertas de control de acceso añadidas a nivel global en 2014 eran de control de acceso como servicio, y considera que hay un enorme potencial de crecimiento para el sector. “Esa es una fracción muy pequeña en el plano global, pero es mucho mayor que lo anterior, de modo que es el inicio de la tendencia”, plantea.
Van Till espera que la disponibilidad de credenciales móviles impulsará esta tendencia con mayor rapidez aún en la medida en que los usuarios finales experimenten la conveniencia de éstas por encima de las tarjetas y los llaveros.
Las preocupaciones sobre la nube se disipan
Hasta ahora los PACS basados en la nube han sido mejor acogidos por operaciones de pequeñas y medianas dimensiones, que por las organizaciones de gran tamaño que tienen preocupaciones de seguridad de alto nivel.
Dubey explica que los negocios de menor tamaño son más propensos a utilizar la nube porque tienen necesidades de seguridad de un nivel más bajo y recursos locales limitados. “Si uno emprende un nuevo negocio o conduce un negocio pequeño, realmente prefiere enfocarse en la esencia del negocio en vez de preocuparse por la seguridad. Considerando ese tema tan sensible, la nube resuelve un problema importante”, comenta.
Para instalaciones complejas, tales como aeropuertos y dependencias gubernamentales de alto nivel, hay requisitos muy estrictos. En esos escenarios, Dubey plantea que la gente tiene aún preocupaciones, tanto verdaderas como equivocadas, sobre la seguridad de la nube.
Asegurar que la transmisión y alojamiento de datos sea seguro, particularmente en países que no cuentan con buenas regulaciones, sigue siendo una preocupación de las organizaciones multinacionales. “A medida que más y más sistemas informáticos en ese segmento del mercado adoptan la nube y se disipan esas preocupaciones, pienso que veremos una adopción similar también para los PACS en nube”, estima Dubey.
Integradores, ‘RMR’ y el cambiante modelo de negocios para PACS
El modelo de negocios para el mercado de control de acceso físico ha sido bien estable. Las empresas que han querido implantar un nuevo sistema han pagado un elevado costo inicial – el cableado requerido, instalación de paneles de control, instalación de lectores y emisión de tarjetas – pero durante aproximadamente una década no tuvieron que preocuparse mucho hasta que el sistema comenzó a hacerse obsoleto.
Las compañías podían pagar una tarifa nominal mensual de mantenimiento, pero aparte del costo por credenciales adicionales para nuevos usuarios, el sistema se pagaba por anticipado. Mientras las compañías han estado utilizando tarjetas para el acceso físico, este modelo de negocios ha funcionado. Pero puede que pronto ya esto no sea efectivo.
Como pasa con casi todo lo relativo a informática, la nube comienza a influir en el mercado de control de acceso físico. Trae consigo un nuevo modelo de negocios y un desplazamiento de los grandes costos iniciales hacia un ingreso mensual recurrente (RMR). “Con las ventas en nube, uno pasa de ingreso inicial a ingreso mensual”, explica Steve Van Till, director general de Brivo.
Es un modelo común en la industria de software, pero que apenas se ve en las ventas tradicionales centradas en hardware. No obstante, en el mundo de la seguridad hace tiempo es el modelo que utilizan los integradores de sistemas residenciales. El control de acceso basado en nube ahora ayuda a introducir este modelo en el mundo de PACS corporativo.
Aunque el costo del actual sistema está estructurado de manera diferente, otro gran cambio radica en el precio de las credenciales. Los integradores de seguridad física normalmente tienen que pagar entre $5 y $20 por tarjeta con los sistemas auto-alojados. Algunos de estos nuevos sistemas basados en nube han visto bajar el costo de las credenciales de forma drástica, con algunos cobrando solamente uno o dos dólares. Otros están eliminando por completo los tokens de hardware al desplazar las credenciales hacia dispositivos móviles. Esto está ocasionando que algunos actores ya establecidos tengan que batallar por adaptarse.
En el modelo tradicional de negocio, las continuas ventas de tarjetas representaban una de las pocas oportunidades que tenían los integradores para cobrarle a los clientes después de la instalación inicial. En el nuevo modelo, la estructura de cargos mensuales hace que los ingresos por credenciales sean menos esenciales para los integradores, permitiéndoles obtener ingresos de forma continua mediante una tarifa general mensual.
Brivo ha participado en el escenario de control de acceso físico basado en nube por más de una década y, aunque las implementaciones a gran escala de los sistemas de acceso físico basados en nube están aún en el horizonte – cerca del 5% de los nuevos sistemas en 2014 eran en nube – siguen experimentando un incremento de esas cifras.
Tyco ha visto crecer año tras año el número de puertas basadas en nube, señala Rajeev Dubey, gerente senior de productos de Tyco Security Products. “Le está sirviendo a los mercados pequeños y medianos”, añade. “Si yo soy dueño de un restaurante, no tengo tiempo para dedicarme a la seguridad. Preferiría pasarla a alguien que la gestionara por mí”.
El mantra de moverla a la nube representa menos costos iniciales y una gestión cotidiana más sencilla, pero potencialmente significa gastar un poco más en el transcurso del tiempo en comparación con un sistema tradicional auto-alojado. Las compañías de tamaño pequeño y mediano que no tienen mucho personal para administrar los sistemas a menudo recurren a la nube porque les facilita la vida. Las empresas más grandes no necesariamente ven un valor en la nube porque tienen personal para gestionar los sistemas, pero hasta esto está cambiando, explica Dubey.
Incluso las compañías grandes con sistemas que están llegando al final de su ciclo de vida y requieren un reemplazo general, están considerando opciones de control de acceso basado en nube. Comprar nuevos servidores y software, así como entrenar empleados para administrar todos esos nuevos sistemas, exige tiempo y recursos. “Pagan más por puerta, por mes, pero eso puede ir acompañado de un proveedor de servicios que lo gestiona todo”, explica Dubey.
Usar la nube puede realmente ayudar a las empresas a localizar los problemas de seguridad, señala Dubey. “Soy un proveedor de servicios con miles de clientes, por eso tengo muchísima analítica que puedo emplear para ayudarlos a detectar irregularidades”, explica.
Daniel Bailin, director de desarrollo estratégico de negocios e innovación de HID Global, dice que estos nuevos modelos ofrecen oportunidades. “Hay una clase de clientes para los que esto es una buena cosa, pero existen otros para los cuales funciona el modelo tradicional”, explica.
Las compañías que han adquirido otras entidades en diferentes ubicaciones y quieren consolidar el acceso físico en todas las dependencias pueden ser buenos candidatos para el acceso físico basado en nube, explica Bailin. “Si se trata de una compañía grande que está creciendo en base a adquisiciones, esta puede ser una buena manera de consolidarse”, señala.
Por otra parte, implementar un sistema basado en nube puede ser más rápido que instalar un sistema tradicional a partir de cero. “Aún hay un gran número de empresas que utilizan cerraduras y llaves”, dice Bailin. “Este es un terreno nuevo, y la facilidad de la implementación en nube es una gran ventaja”.