Respuestas Crónica

 

Más de 300 asistentes conocen de primera mano las principales tendencias que rodean este nuevo paradigma que adosa seguridad al uso de la nube

 

CASB evidencia en RESPUESTAS SIC su rol clave para extender el cumplimiento y los controles corporativos a la nube pública

 

Los pasados 8 y 10 de marzo tuvo lugar en Barcelona y Madrid, respectivamente, la vigésima novena edición del encuentro Respuestas SIC que congregó a más de 300 profesionales para ofrecer una visión detallada sobre el incipiente ascenso de los Cloud Access Security Brokers (CASB) como elementos esenciales de control de la seguridad aplicados en las fronteras corporativas, concretamente, entre los usuarios y los servicios alojados en la nube. Para ello, el encuentro contó con un solvente panel de expertos en la materia que, junto con las propuestas de las compañías patrocinadoras (Blue Coat, Microsoft, Netskope, Palo Alto Networks, Symantec, Trend Micro y Zscaler, firmemente comprometidas en dotar de protección a este delicado pero inexorable paso de las empresas en su transformación digital) trasladaron a los asistentes valiosas orientaciones que, sin duda, aclararon el papel que tanto el negocio, la tecnología y el usuario tienen dentro del nuevo paradigma CASB.

 

Sesión de Madrid

 

El inexorable avance de la computación en la nube, la ubicuidad de los accesos a las aplicaciones cloud, su uso masivo por parte de los empleados -tanto dentro como fuera de las fronteras corporativas-, y el inherente riesgo a la seguridad de la información que todo ello supone para las empresas, sumergió el primer Respuestas SIC de 2016 en un tema de candente actualidad como es la aparición de los Cloud Access Security Brokers (CASB), un término acuñado por Gartner para los fines que le son propios y que ha calado en la industria de la ciberseguridad adquiriendo una destacada relevancia como elemento esencial de control entre los usuarios y los servicios alojados en la nube.

 

Sesión de Barcelona

 

Para comprender mejor esta nueva tendencia, el evento inició la jornada con los especialistas Mariano J. Benito, CISO de GMV Secure e-Solutions y Coordinador del Capítulo Español de la Cloud Security Alliance, y Juan Antonio Abánades, Jefe de Sección de Tecnologías de Ciberseguridad de GMV Secure e-Solutions, quienes brindaron a la audiencia una visión completa sobre el estado actual del panorama computacional en la nube que, contra todo pronóstico, no ha experimentado un crecimiento tan rápido y amplio como se esperaba debido a la aparición de importantes barreras de adopción asociadas especialmente a la privacidad, la ubicación, la protección y la movilidad de los datos, una situación que las soluciones CASB aspiran a resolver en gran medida.

 

Mariano J. Benito

 

Bajo esta idea, Benito daba comienzo a su ponencia “CASB: Salvando gaps de seguridad en la nube”, haciendo un repaso del estado del arte del cloud computing, una fórmula de externalización que, a pesar de que se comenzase a hablar de ella hace siete años –un tiempo enorme dentro del mundo tecnológico– aún no ha experimentado la adopción masiva esperada, especialmente ante la incertidumbre e inseguridad que genera subir los activos corporativos a la nube. “La computación en la nube está en una situación desilusionante y, precisamente, lo que está fallando por parte de los proveedores es la capacidad de proporcionar servicios de confianza provocando que, a día de hoy, las empresas sigan dudando si llevar sus datos a la nube o no”, explicaba de forma alarmante Benito.

 

Para este experto, las expectativas en seguridad de los usuarios de servicios en la nube están por encima de la capacidad de los proveedores de satisfacerlas. Y, según el directivo, además de la privacidad, la integridad y la geolocalización de los datos, las empresas echan de menos una mayor visibilidad sobre quién accede a dichos datos y a las aplicaciones, así como una mayor seguridad frente al alojamiento multihuésped que ofrecen muchos proveedores cloud. Todo ello en un entorno multidispositivo, multiacceso y móvil.

 

Juan Antonio Abánades

 

Ante estos retos, el paradigma CASB se apalanca para intentar proporcionar alternativas a través de nuevos productos y servicios que permitan solucionar esos gaps en seguridad. En este sentido, Juan Antonio Abánades tomaba el testigo para desgranar a la audiencia las funciones esenciales de seguridad que una solución CASB debe de tener y que se resumen en: visibilidad, cumplimiento, seguridad de los datos y protección de amenazas, características que, si bien son esenciales, no son sin embargo suficientes. Abánades añadía en este sentido la necesidad imperante de que dichas soluciones posean, al menos, tres aspectos más: la integración con sistemas de seguridad ya existentes en una empresa; un buen cuadro de mandos; y, disponer de personal cualificado, aspectos esenciales que fueron destacados por los distintos participantes tanto en la sesión de Barcelona, como en la de Madrid.

 

La clave de una buena estrategia CASB

 

Tras la intervención de los especialistas de GMV, Javier Fernández, Security Deal Architect de BT Global Services y gran experto del mundo de la seguridad, tomó la palabra para explicar en detalle cómo asumir con éxito la adopción de soluciones CASB dentro de la empresa, un proceso nada trivial para el que no dudó en advertir que deberá ser impulsado por la parte de negocio, siento el departamento de TI el que tenga que estar informado y preparado para liderar dicha adopción. Para ello, Fernández establecía como primer paso la necesidad de definir una política para el producto o servicio correspondiente al Sistema de Gestión de Seguridad de la Información (SGSI) establecido por la empresa, siendo fundamental “conocer qué servicios cloud se están utilizando, los tipos de datos que se suben y se comparten, así como sus medidas de seguridad de las que se dispone, las cuales son esenciales para evitar una catástrofe generada por una fuga masiva de información”, explicaba Fernández.

 

Javier Fernández

 

El directivo también aludió a la necesidad de saber dónde se almacenan los datos, auditar el acceso y uso de los mismos y proteger la información sensible para cumplir con la legislación vigente en materia de privacidad y cumplimiento normativo.

 

Sesión de Madrid

 

A todo ello, se le une la necesidad de reflexionar sobre la seguridad de los datos y la capacidad de integración con sistemas ya existentes como soluciones Discovery, Clasificación, DLP, IRM, SIEM, EMM, etc. Asimismo, Fernández se postuló a favor de “definir y crear la figura que se encargue de la gestión de todos los elementos de los que se compondrá esta estrategia, siendo capaz de controlar los nuevos servicios para poder tener control sobre todos ellos y establecer los acuerdos pertinentes, además de contar con un tercero, una consultora capaz de asesorar a negocio sobre los riesgos y las implicaciones de adoptar soluciones CASB”, concluyó.

 

Sesión de Madrid

 

La industria toma la palabra

 

Los representantes de las siete compañías patrocinadoras, todos ellos reconocidos expertos con amplia trayectoria en el sector, cogieron el testigo para presentar a la audiencia las nuevas propuestas tecnológicas que están apareciendo a tenor de la importancia de contar con soluciones o servicios CASB para proteger el uso de la información corporativa en la nube, además de exponer interesantes reflexiones sobre este paradigma.

 

Alberto Cita

 

Alberto Cita, SE Manager para el Sur de Europa de Blue Coat, compañía que realizó una de las compras más sonadas en este campo al adquirir la firma Elástica revolucionando el mercado CASB, fue el encargado de dar el pistoletazo de salida a esta segunda parte de las jornadas.

 

Sesión de Madrid

 

Para Blue Coat es esencial ofrecer una solución holística que proteja en todo momento la información sensible, tanto fuera como dentro de las fronteras corporativas. Por este motivo, Cita destacó la perspectiva integral de su compañía, basada en diversos módulos relacionados; Audit, con el que arrojar luz sobre el conocido Shadow IT a través de métricas y criterios personalizados; Detect and Prevent, desde donde se detectan amenazas a la seguridad mediante el análisis de un índice de riesgo para cada usuario; e, Investigate, un SIEM que lleva a cabo análisis forenses, que se ofrece bajo la modalidad cloud o en las instalaciones del cliente.

 

Agustín Santamaría Sesión de Madrid

 

Tras Alberto Cita llegó el turno de Agustín Santamaría, Azure & Security Solutions Specialist de Microsoft, una compañía que se está transformando a pasos agigantados, y en CASB especialmente, con las adquisiciones de Secure Islands y Adallom. Según Santamaría, “la visión de Microsoft del mercado CASB está basada en cuatro pilares: usuarios, dispositivos, datos y aplicaciones, y la relación entre todos ellos, lo cual, es indispensable para disponer de un perímetro robusto de seguridad corporativa en la que se incluyen las Azure Active Directory y Azure ID Identity Protection, Microsoft Intune, Microsoft Azure Rights Management y Microsoft Azure AD Cloud App Security”, toda una solución cuyo flujo de trabajo se basa en los procesos de descubrimiento, investigación, control y gestión a través de consola central que permite visualizar y monitorizar alertas y políticas de control.

 

Lázaro Macías

 

Por su parte, Lázaro Macías, Solutions Architect de Netskope, trasladó a la audiencia la perspectiva de una empresa especializada exclusivamente en soluciones CASB, que también aludía a la visibilidad, el cumplimiento, la seguridad de datos y la protección contra amenazas, como las cuatro funcionalidades indispensables dentro de una solución CASB.

 

Sesión de Barcelona

 

Para Macías, “es fundamental que la oferta CASB de una empresa disponga de funcionalidades de análisis del tipo de datos o información existente en la empresa, qué uso se hace de ello y que sea capaz de reportar la información confidencial que está siendo compartida públicamente o dentro de la empresa para evaluar el riesgo sin incurrir en la parte personal del usuario”. También, “es importante identificar las actividades de exfiltración e infiltración en el uso de aplicaciones en la nube, reconociendo la versión o cuenta corporativa de la personal dentro de una misma aplicación”, detalló. A lo que añadió, asimismo, lo esencial de proporcionar un control de acceso granular para dispositivos administrados y no administrados por la empresa.

 

Jesús Díaz Sesión de Madrid

 

Tras una breve pausa, Jesús Díaz, Senior System Engineer de Palo Alto Networks, desvelaba la estrategia de la firma dentro del nuevo mercado CASB y cuya visión también se enfoca a proporcionar una seguridad completa e integrada, la cual se engloba en su plataforma Wildfire. Para Díaz, “hay una serie de cosas que no puedes controlar solo a nivel de red y por este motivo, en Palo Alto hemos añadido una pieza más de seguridad en la nube a través de nuestra solución Aperture, enfocada a CASB”. Una solución que se integra con los sistemas de seguridad tradicionales, así como su sandbox Wildfire, y que ofrece políticas retroactivas, una funcionalidad interesante que los ponentes no habían mencionado hasta ahora, capaz de analizar las políticas existentes en la empresas para saber qué es lo que falta y poder implementar una estrategia perfectamente complementaria a lo ya existente en una empresa.

 

Agustín Solis

 

Agustín Solís, Especialista en Protección de la Información de Symantec, fue el encargado de explicar la estrategia CASB de esta compañía de ineludible referencia en el mundo de la seguridad. En este caso, Solís destacada en su oferta tres pilares fundamentales: acceso seguro, a través de una única plataforma de acceso único a las aplicaciones en la nube que controle y gestiona qué usuarios acceden a esas dichas aplicaciones en la nube; autenticación robusta de doble factor a través de PIN, OTP, notificaciones, proximidad, sistemas biométricos, token, smartcards, SMS, e-correo y un largo etcétera; y, seguridad de los datos a los que van asociados las soluciones en la nube a través de DLP avanzado.

 

Tomás Lara

 

Tomás Lara, Director General para Iberia de Trend Micro, deleitó a la audiencia con una historia a modo de metáfora que le sirvió para explicar a los presentes de forma amena los problemas y riesgos a la seguridad que surgen cuando una empresa decide trasladar parte de su negocio a la nube especialmente y la manera de atajarlos desgranando un análisis de riesgos que, paso a paso, iba remediando y controlando con las distintas soluciones de Trend Micro y entre las que se destacó Trend Micro Deep Security, una plataforma de gestión centralizada que protege datos y aplicaciones empresariales de filtraciones y que ayuda a las empresas a simplificar sus actividades de seguridad, tanto dentro de la empresa como en la nube, además de ayudar en el cumplimiento de las normativas.

 

Daniel Lopez

 

Finalmente, Daniel López, Director Territorial para España y Portugal de Zscaler, ofreció la perspectiva de una compañía que ha nacido para atender la casuística y problemática de los servicios cloud y ahora, también, de las soluciones CASB. López destacó en este sentido la importancia de contar con funciones seguridad de contenidos y cumplimiento normativo, construyendo un perímetro alrededor de internet que ofrezca un único punto de configuración, inspección SSL completa y visibilidad global y en tiempo real de amenazas, aplicaciones y usuarios. Además, el directivo añadió que “Zscaler ha cerrado acuerdos a todos los niveles con grandes fabricantes como Microsoft, Google y Samsung, entre otras, con el objetivo de ofrecer a nuestros clientes la posibilidad de beneficiarse de un conjunto más amplio de tecnologías”.

 

Sesión de Madrid Sesión de Barcelona

 

CASB: El debate

 

Tras las respectivas conferencias, los patrocinadores atendieron a una serie de cuestiones planteadas por la audiencia entre las que destacaron la importancia de crear una buena estrategia para implantar las soluciones CASB de la mano de los departamentos de negocio y de compras, siendo la integración con las políticas y productos de seguridad ya existentes dentro de la empresa uno de los aspectos más importantes a tener en cuenta.

 

Sesión de Madrid Sesión de Barcelona

 

Otra de las reflexiones surgidas tuvo que ver con la modalidad de pago bajo la que operarán los fabricantes en este mercado. A este último respecto, el panel de especialistas compartía la opinión de que la mayor parte de las soluciones CASB se ofrecerán como servicios bajo la modalidad de pago por uso de productos híbridos capaces de complementarse con los sistemas on premise de las empresas. Alberto Cita especificaba en este sentido que, desde el punto de vista económico, “en Blue Coat intentamos adaptarnos al pago por uso por año y por mes”. Por su parte, Lázaro Macías explicaba que, en Netskope, ofrecen un sistema de pago por usuario, aplicación, etc. que se complementa con una suscripción anual. En general, quedó patente que el pago por uso será una modelo muy atractivo tanto para las empresas como para los clientes que quieran disponer de soluciones CASB pero, como bien resaltaba Daniel López, “el salto a este modelo pueden ahorrar costes pero no hay que esperar ahorros simplemente por el hecho de subirse a la nube; es necesario ver las aproximaciones de los distintos fabricantes y establecer una estrategia acorde a las necesidades específicas de una empresa”.

 

Sesión de Madrid

 

La voz del usuario

 

La jornada concluyó con la visión que dos expertos de empresas usuarias tienen de los escenarios actuales en los que utilizan servicios en la nube, así como de las necesidades y limitaciones que les surgen. David Matesanz, Regional Information Security Officer IT Services Europe de Daimler Group, rompía el hielo explicando que lo que quiere el cliente se resume en la necesidad de tener la misma seguridad dentro de la empresa que en la nube, donde es de vital importancia el control de acceso y la gestión de identidades. El directivo también recalcó “la necesidad de contar con el área de negocio para llevar a cabo este tipo de implementaciones, así como hacer todo lo posible por intentar este tipo de soluciones no supongan un problema, no se conviertan en un riesgo más de la información y no se perciban como una cortapisa por parte de los usuarios finales”.

 

 

Por su parte, Javier Sevillano, Responsable de Seguridad Tecnológica de Vodafone España, explicaba que, además de contar con el departamento de negocio, es muy importante que sean los CISO los primeros en detectar y saber qué servicios en la nube están usando los usuarios teniendo en cuenta todas redes y dispositivos, no solo los corporativos. Asimismo, destacó que este nuevo paradigma supondrá para TI “una nueva batalla en la que podemos encontrar un buen aliado, el departamento de compras, porque cuando alguien va a la nube lo primero que hay que hacer es comprar el servicio, y a partir de ahí, nos entenderemos mejor con el área de negocio para llevar a cabo los cambios necesarios que nos plantea este nuevo paradigma”. SIC

 

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies