En esta pequeña entrada, quiero daros a conocer uno de los términos utilizados por Gartner y del que cada vez escucharemos más debido al mundo de la nube: CASB o Cloud Access Security Broker y que podemos ver en los análisis de tecnología emergente del mismo, como una de las tecnologías con mayor proyección en los próximos años.
¿Qué es un agente Cloud Access Security Broker?
Fundamentalmente, un CASB es un punto de control de visibilidad y política que se encuentra entre usuarios y aplicaciones en la nube. Gartner cree que hay tres maneras de implementar un CASB:
- a través de una puerta de enlace similar a proxy
- a través de un modelo de agente basado en host
- con una solución SaaS nativa basada en la API.
CASB permite a las empresas aprovechar con confianza servicios y aplicaciones en la nube sin dejar de estar seguras, protegidas y cumpliendo las normativas. Igualmente, le proporciona visibilidad de la llamada “informática oscura”, control sobre los datos de las aplicaciones en la nube y protección frente a las amenazas que se centran en las cuentas en la nube.
¿Por qué son importantes los CASB?
Hay tres razones principales por los que la seguridad de los acceso a la nube son un tema candente hoy en día.
En primer lugar, debido a un informe del 2014 de Gartner en el que casi todos los encuestados compartieron que anticiparían que más de la mitad de su inversión en aplicaciones empresariales se gastará en aplicaciones de nube públicas para el 2018. En resumen, las aplicaciones en la nube están aquí para quedarse, por mucho rechazo que tengan los Gurus de Seguridad Old School.
En segundo lugar, mientras que los proveedores de aplicaciones en nube pública son conscientes de la seguridad, tienden a centrarse en la protección de la capa de infraestructura, que demuestran a través de auditorías y certificaciones como ISO 27001 o SOC 2 Tipo 2. Esto deja a la organización la responsabilidad de mitigar el riesgo inducido por el comportamiento de los usuarios .
Y por último, las aplicaciones en la nube son cada vez más consideradas como facilitadoras del negocios. Gartner reveló que más del 25% de los gastos de TI de hoy proviene de fuera del departamento de TI, lo que significa que los propietarios de línea de negocio auto-seleccionan la tecnología, en particular las aplicaciones en la nube, para que ellos y sus equipos sean más productivos. Pero para hacer esto con seguridad, las estrategias de mitigación del riesgo deben ser consideradas.
Los cuatro pilares de Gartner de CASB
- Visibilidad. ¿Qué aplicaciones, tanto autorizadas como no autorizadas, están siendo utilizadas por nuestros empleados? ¿Con qué frecuencia y cuándo utilizan estas aplicaciones? Esta visibilidad otorga a las organizaciones la visión tan deseada del lado TI de la ecuación.
- Conformidad. Los agentes de seguridad de acceso a la nube ofrecen la oportunidad de entender si su organización está cumpliendo con las regulaciones, como HIPAA, PCI, FISMA, etc., todo ello a través del gobierno de datos.
- Prevención de amenazas. Con el fin de ofrecer efectivamente la prevención de amenazas, CASB mira a los usuarios internos y extraños maliciosos para evaluar el riesgo potencial del comportamiento. Por ejemplo, ¿los usuarios de confianza acceden a información a la que no deberían tener acceso?
- Seguridad de los datos, refiriéndose no sólo a la encriptación y tokenización, sino también a la prevención de la pérdida de datos. ¿A qué datos se accede? ¿Qué datos se comparten? ¿Se está compartiendo de una manera que es perjudicial para la organización? ¿Se protege mi propiedad intelectual?
Es fantástico que Gartner esté ayudando a educar a las organizaciones que miran hacia adelante y que están adoptando o considerando la adopción de aplicaciones en la nube. Es esencial implementar la seguridad de tal manera que no afecte a los usuarios finales, y creo que es importante permitir que los empleados utilicen los servicios en la nube de la manera que lo podrían hacer en casa. Al hacerlo, la seguridad en la nube puede convertirse en un verdadero facilitador de negocios y abrir nuevas posibilidades para todos, estando cada vez más cerca de lo “Agile” y el cambio continuo.
¿Necesitas una solución CASB?
Sí. Y, para obtener más información sobre lo que puede hacer para su organización, consulta los distintos infomes de Gartner sobre seguridad en la nube. En su interior, encontrará interesantes datos sobre ciberseguridad, estudios de casos y consejos sobre cómo sacar el máximo provecho de sus esfuerzos de seguridad cibernética a través de actividades sospechosas que realmente indican amenazas cibernéticas y el mundo cloud.
Symantec ha publicado el paper “Securing Cloud Applications and Services” [PDF] al respecto y aquí hay una comparativa de los principales jugadores del mercado.