SASE: Entre a promessa e a maturidade

O Secure Access Service Edge (SASE) está a avançar nas organizações, mas a maturidade continua longe de acompanhar o ritmo. De acordo com o relatório “State of Secure Network Access 2025”, realizado pela Hughes, 32% das organizações já estão a implementar este modelo, enquanto 31% o avaliam e 24% planeiam adotá-lo no curto prazo. Ainda assim, apenas 8% afirmam ter uma implementação completa, o que expõe um fosso entre adoção e execução.

A arquitetura, desenhada para resolver limitações estruturais dos modelos legados, através da integração da segurança diretamente na rede, permitiu eliminar a dependência de perímetros físicos. Simplificação, visibilidade e controlo fazem parte de uma promessa, que, no entanto, assenta em pressupostos que raramente se mantêm intactos à medida que a escala aumenta.

A principal motivação para a adoção continua a ser o acesso remoto seguro, apontado por 45% das organizações, num contexto em que 42% identificam os próprios colaboradores como o maior risco de segurança. O SASE surge, assim, como resposta a um problema, mas a sua implementação introduz novos níveis de complexidade.

O desafio da integração

A integração com sistemas existentes continua a ser o principal entrave, apontado por 48% das organizações, seguida da gestão de políticas em ambientes distribuídos (44%) e da disrupção para os utilizadores durante a transição (38%). Estes números ajudam a explicar por que razão a maioria das implementações permanece em estado intermédio.

A simplificação prometida acaba muitas vezes por redistribuir a complexidade. Em vez de múltiplas appliances físicas, as organizações passam a gerir camadas lógicas – políticas, identidades, integrações e fluxos de tráfego – que introduzem novos pontos de dependência.

Governar a complexidade operacional

Essa realidade é particularmente evidente na operação. André Chibeles, Cybersecurity Sales Engineer da Logicalis Portugal, afirma que, em ambientes maduros, o desafio não é a tecnologia, mas a sua governação, sobretudo na definição de políticas, que combina aspetos técnicos e conceptuais. Estes tipos de soluções obrigam “a definir estrategicamente que política aplicar, e depois a aplicação técnica da política definida”.

	“Sempre que é comprada uma solução tecnológica de segurança, deve haver primeiro uma definição de políticas ao nível conceptual e depois a configuração inicial da solução de SASE, com a aplicação e manutenção dessas políticas” André Chibeles, Cybersecurity Sales Engineer da Logicalis Portugal

Os custos associados ao SASE surgem tanto na fase inicial de implementação como na operação contínua. Segundo André Chibeles, “sempre que é comprada uma solução tecnológica de segurança, deve haver primeiro uma definição de políticas ao nível conceptual e depois a configuração inicial da solução de SASE, com a aplicação e manutenção dessas políticas”. Esta configuração inicial envolve interligar os utilizadores às aplicações e definir quem tem acesso a quê, quando e como.

A operação continua a gerar custos, já que “será sempre necessária alteração de políticas, pois a organização pode redefini-las ou ocorrer alterações na arquitetura de rede – mudanças de rede, novos sites, fusões e aquisições”. A gestão de políticas não é, portanto, um esforço único, mas um processo contínuo que exige atenção e recursos constantes para que a solução SASE funcione de forma eficaz e segura.

A operação contínua levanta ainda desafios de visibilidade e troubleshooting. Quando o tráfego passa por infraestruturas que não pertencem à organização, identificar a origem de um problema torna-se mais complexo. Ainda assim, a observabilidade integrada nas plataformas pode ajudar, ao permitir distinguir entre problemas no last mile e no backbone do fornecedor e identificar gargalos com maior precisão.

Esta transferência parcial de controlo é acompanhada por uma mudança no modelo operacional. Com base no relatório da Hughes, apenas 16% das organizações gerem o SASE totalmente de forma interna, enquanto 46% optam por modelos de cogestão e 32% externalizam completamente a operação para MSP. A prevalência de cogestão e externalização indica que muitas equipas internas não dispõem de recursos ou experiência suficiente para gerir o SASE sozinhas.

Entre estratégia e execução técnica

A maturidade das organizações na adoção de SASE varia significativamente, sobretudo ao nível de competências internas. André Chibeles sublinha que “depende muito de cliente para cliente” e que a adoção deve começar pela definição de estratégia e políticas, enquadradas por funções como CISO e GRC, muitas vezes impulsionadas por requisitos como zero trust e DLP associados a diretivas como a NIS 2, ISO 27001 ou frameworks como a NIST.

A partir daí, torna-se necessário garantir capacidade técnica para gerir um ecossistema que agrega múltiplas camadas de segurança, de firewall e IPS a CASB e controlo de acessos. Se por um lado, “há organizações que focam os seus recursos mais na vertente de GRC, tendo mais falta de recursos na componente técnica”, por outro, “há clientes que focam os seus recursos mais na componente técnica, tendo mais falta na componente de GRC”, acrescenta.

SASE no terreno

O caso da Sonae MC mostra como os benefícios do SASE coexistem com desafios operacionais, num contexto próximo da realidade no terreno – neste caso, no universo do retalho, mas com paralelos evidentes em múltiplos setores onde a gestão de redes distribuídas e acessos seguros é crítica. João Pedro Rosário, Head of IT Security and Operations, reconhece ganhos operacionais e afirma que “com a integração de várias capacidades numa única ferramenta e visibilidade que passámos a ter, sem dúvida que já é possível tirarmos partido da simplicidade e capacidade operacional que estas soluções entregam”.

	“Com a integração de várias capacidades numa única ferramenta e visibilidade que passámos a ter, sem dúvida que já é possível tirarmos partido da simplicidade e capacidade operacional que estas soluções entregam” João Pedro Rosário, Head of IT Security and Operations da Sonae MC

Ao mesmo tempo, admite que a escala introduz desafios, já que “há sempre alguns casos de configurações particulares que vamos encontrando em cada site o que acaba por obrigar a intervenção mais cuidada das equipas”, mesmo com “templates e blueprints de rede das nossas lojas”.

A Sonae MC não mantém infraestrutura tradicional em paralelo, uma vez que “toda a nossa rede faz parte da nossa plataforma SASE”, afirma o responsável. Ainda assim, o troubleshooting continua a envolver vários intervenientes, já que “a componente de circuitos de dados mantém-se naturalmente responsabilidade dos operadores de telecomunicações, mas a clareza da origem do problema visível nas plataformas SASE torna mais simples identificar a root cause e endereçar com as equipas responsáveis mais depressa”.

Operação do SASE ao longo do tempo

Do ponto de vista estratégico, a principal conclusão não é que o SASE falha, mas que a sua implementação está longe de ser um processo linear. A complexidade não desaparece, desloca-se, sobretudo para a definição e gestão contínua de políticas, que concentram hoje o maior esforço operacional. À medida que mais organizações entram na fase de operação, torna-se claro que o desafio não está apenas na implementação inicial, mas na sua manutenção ao longo do tempo, num ciclo contínuo de adaptação e ajustamento.

Essa leitura não coloca em causa a maturidade tecnológica do modelo. “Ainda não tivemos nenhum projeto que tenha sido revertido para o modelo anterior. A tecnologia, nesta fase, já está madura”, sublinha André Chibeles. A base, lembra, assenta em elementos já bem consolidados, como túneis IPsec e agentes nos dispositivos. O maior desafio surge depois, na definição e implementação de políticas, onde está concentrada a maior parte da complexidade. É também nesse momento que o foco muda, com menos atenção ao que o SASE permite fazer e mais às exigências da sua implementação.