En un mundo de aplicaciones en la nube y dispositivos móviles, el departamento de TI debe proteger los datos corporativos en cualquier dispositivo y en cualquier lugar. Las tecnologías de seguridad existentes, desarrolladas solo para proteger datos que están en la red, no están preparadas para resolver esa tarea. CASB trasciende el perímetro de la red para proporcionar protección total: en la nube, en dispositivos móviles y en cualquier lugar en Internet.
No es ningún secreto que las apps en la nuben —como Office 365, Salesforce y Box— son el futuro de la informática empresarial. Sin embargo, las preocupaciones acerca de su seguridad siguen afectando a su adopción generalizada. Muchas organizaciones tienen interés en migrar a la nube, pero necesitan una solución de seguridad global que ofrezca visibilidad, seguridad de datos, protección contra amenazas y cumplimiento de requisitos.
Los agentes de seguridad de acceso a la nube o CASB (cloud access security brokers) son una solución basada en datos para proteger apps SaaS punto a punto, desde la nube al dispositivo. Al intermediar, usando un proxy para el tráfico entre las apps en la nube y los dispositivos del usuario final, los CASB pueden ofrecer control de acceso granular y visibilidad profunda de los datos corporativos. Y esta es una funcionalidad crítica para las organizaciones que están migrando hacía estas apps en la nube.
Los ataques de denegación de servicio, brotes de malware y grandes pérdidas de datos son la clase de incidentes de seguridad que llevan a los proveedores de apps en la nube a la primera página de los periódicos, con el correspondiente impacto negativo en sus negocios. No obstante, el control sobre el acceso y sobre los datos descargados es responsabilidad de la empresa. El robo de credenciales de usuario, la imposibilidad de cumplir la normativa y las filtraciones de datos debido a controles inadecuados recaen sobre el departamento de TI, que es quien debe contar con una solución frente a los riesgos que quedan fuera del control del proveedor de la aplicación SaaS.
Los CASB son una solución para proteger apps SaaS desde la nube al dispositivo
Buscando el equilibrio
Hubo un tiempo en que los empleados aceptaban una experiencia de usuario pobre simplemente como un mal menor. Hoy, rechazan rápidamente aquellas soluciones que no cumplen con una serie de parámetros, como la usabilidad (en cuanto a experiencia de usuario y fomento de la productividad), privacidad (no solo es una expectativa, es su derecho) o la movilidad, utilizando incluso sus propios dispositivos.
Encontrar un CASB que pueda cumplir con estas exigencias ayudará a impedir que los empleados “hagan trampas” y obvien al departamento de TI.
La seguridad es uno de los retos que afectan a la adopción de las apps en la nube
Componentes
La movilidad y las apps en la nube son herramientas que potencian la productividad y hacen que el acceso a los datos sea mucho más fácil, aunque esto puede suponer una amenaza para la seguridad. Un CASB completo tiene que cerrar esa brecha, protegiendo tanto los datos almacenados como los que están en uso en todos los dispositivos.
Cloud. Para identificar una actividad peligrosa o maliciosa es importante tener un conocimiento profundo del modo en que los empleados utilizan las apps en la nube. Rastreando sus actividades, los CASB pueden generar un perfil de comportamiento de referencia y avisar cuando se producen desviaciones para que el área de TI pueda tomar medidas de inmediato. La visibilidad también puede ayudarles a formular políticas de seguridad que minimicen el riesgo de pérdida de datos sin dificultar los flujos de trabajo de los empleados.
Los CASB protegen los datos corporativos tanto en la nube como en cualquier dispositivo, y en tiempo real. La integración de API en las apps permite escanear y proteger datos almacenados. Por su parte, los proxys se utilizan para la protección en tiempo real de datos, a los que se accede a través de dispositivos, gestionados o no gestionados.
Utilizando API integradas, los CASB pueden escanear e identificar contenido sensible almacenado en apps como Office 365 y Google Apps, y aplicar controles de acceso pormenorizado a los datos. Con las soluciones tradicionales, las capacidades de control de acceso son limitadas y TI se ve forzado a permitir o bloquear el acceso, sin más. Con un CASB, sin embargo, tienen más flexibilidad para ampliar el acceso a datos en función del contexto y del contenido.
Móvil. La nube y la movilidad son componentes inseparables. El enfoque de seguridad del CASB, centrado en datos, garantiza que la información corporativa se mantenga protegida en cualquier dispositivo y en cualquier lugar.
Cuando los esfuerzos se centran en proteger dispositivos, existe un riesgo real de fuga de datos. Se puede, por ejemplo, descargar un archivo con información sensible a un dispositivo gestionado, moverlo a un dispositivo no gestionado y, tal vez, cargarlo en una aplicación en la nube no autorizada. Si no se cuenta con protecciones basadas en datos, el departamento TI pierde visibilidad y control sobre ese archivo. Con un CASB, un motor DLP —de prevención de pérdidas de datos— sensible a contenidos puede encriptar, gestionar derechos digitales y poner marcas de agua a los datos en tiempo real, garantizando que la información sensible sigue protegida tanto en los dispositivos gestionados como en los no gestionados.
Otro riesgo es el derivado del BYOD y el que suponen los dispositivos extraviados o robados. Los CASB pueden poner en funcionamiento una serie de políticas de seguridad para cualquier dispositivo, no solo en los gestionados. Los CASB pueden exigir el uso de PIN o contraseña como seguridad adicional e incluso borrar selectivamente los datos corporativos de cualquier dispositivo móvil.
Descubrimiento. Otro riesgo importante son los datos que abandonan la red corporativa y se dirigen a destinos de alto riesgo: sitios de gestión y control de malware, anonimizadores como Tor, aplicaciones en la nube, shadow IT y otras más. Cada uno de estos destinos representa un riesgo de filtración de datos sensibles y debe ser identificado a su debido tiempo.
Los CASB ofrecen servicios de descubrimiento, que analizan datos del proxy o del cortafuegos para identificar tráfico vulnerable entre la red y los destinos de alto riesgo. Los destinos asociados con actividad maliciosa conocida pueden identificarse para así tomar medidas respecto a los terminales y usuarios de alto riesgo.
Identidad. En muchas organizaciones, las cuentas individuales se crean dentro de cada app en la nube, sin que exista un sistema de identidad centralizado. Esta práctica puede hacer que sea más difícil proveer nuevas cuentas y autenticar usuarios de modo seguro.
Un CASB completo dispone de una solución de gestión de identidad integrada, o trabaja con una infraestructura de gestión de identidad ya existente, para hacer posible una autenticación segura en todas las apps en la nube.
La autenticación segura, que a menudo es necesaria para obtener el cumplimiento de las regulaciones aplicables, puede reducir drásticamente la superficie de ataque que los hackers pueden utilizar para acceder a datos corporativos.