Asier Ortega     Consulting Systems Engineer Iberia, Blue Coat.

A lo largo de los últimos años las tecnologías de la información están viviendo una transformación fundamental, viendo como las aplicaciones en nube van ganando terreno en todos los ámbitos: aplicaciones sociales, de correo electrónico, chat, uso compartido de archivos, conferencias, aplicaciones ofimáticas, administración de dispositivos, y un largo etc. Y el uso de estas aplicaciones no se limita únicamente al ámbito personal o doméstico, sino que las organizaciones de cualquier tamaño adoptan cada vez con mayor frecuencia servicios en nube y aplicaciones de terceros en modo servicio (SaaS) como parte activa del negocio, lo que les permite reducir la infraestructura IT y costes de mantenimiento, optimizar la productividad y la capacidad de colaboración de los empleados dotándoles de acceso al instante y desde cualquier ubicación a las aplicaciones y los datos de negocio.

Sin embargo la utilización de estas aplicaciones y servicios implican nuevos riesgos para las organizaciones no contemplados por las soluciones tradicionales de seguridad y que requieren enfoques diferentes para la protección de usuarios e información corporativa.

En primer lugar, la utilización de aplicaciones y servicios en nube resulta una alternativa muy atractiva para los empleados que buscan optimizar sus actividades de trabajo, colaborar fácilmente con otros trabajadores, y ser más productivos. En lugar de pedir a las organizaciones el despliegue de nuevas aplicaciones (un proceso que puede tardar meses), el uso de  aplicaciones en la nube permiten a los usuarios estar conectados y ser productivos en días, si no horas. Como resultado, los usuarios comienzan a utilizar aplicaciones que no han sido aprobadas por los responsables de IT de la organización, lo que expone a las organizaciones a riesgos hasta ahora no contemplados. Esto es lo que se conoce como Shadow IT: usuarios empleando aplicaciones no autorizadas que no están controladas mediante los mecanismos de seguridad corporativos.

Como respuesta a la aparición del Shadow IT, muchas organizaciones han optado por intentar bloquear el acceso a las aplicaciones utilizadas por los usuarios. Pero con miles de aplicaciones en nube disponibles para los usuarios, el enfoque de las soluciones Cloud Access Security Bróker (CASB) va más allá de la identificación de las aplicaciones en nube o su categorización en base al tipo de aplicación: estas soluciones CASB permiten a las organizaciones no solo conocer qué aplicaciones están siendo utilizadas por los usuarios, sino también lo preparadas que estas aplicaciones están para su uso en entornos corporativos en base a múltiples parámetros como la robustez en la autenticación de los usuarios, las políticas existentes sobre archivado de la información, gestión del acceso, localización geográfica, posibilidades de recuperación y borrado de la información, certificaciones internacionales y de terceros que avalen el servicios, etc.

Con la estrategia de bloqueo de aplicaciones en nube, las organizaciones bloquean muchas veces el acceso a las más conocidas, haciendo que los usuarios recurran a aplicaciones más desconocidas, que potencialmente conllevan un mayor riesgo.Empleando soluciones CASB las organizaciones pueden permitir el acceso a las aplicaciones exigiendo un mínimo de protección, y pueden permitir a sus empleados acceder a aplicaciones que facilitan su labor y permiten una mayor colaboración y productividad, pero preservando los requerimientos de seguridad.

Sin embargo la aportación de las soluciones CASB va mucho más allá de la visibilidad y el control de acceso a las aplicaciones. Si bien el Shadow IT es un riesgo de seguridad que hoy en día se tiene muy presente, existe otro riesgo asociado al uso de aplicaciones en nube de mayor importancia para las organizaciones: Shadow Data. Tal y como comentamos al inicio del artículo, organizaciones de todos los tamaños y sectores están adoptando aplicaciones en nube que aportan multitud de ventajas, desplegando nuevos servicios que alojan información de negocio muchas veces de alta criticidad y enormemente sensible, sin que los equipos de seguridad IT posean las herramientas necesarias para garantizar la protección de esa información una vez que es enviada a sistemas externos a la organización. El riesgo no reside por tanto en este caso en conocer qué aplicaciones están siendo utilizadas por los usuarios (las aplicaciones están autorizadas, son herramientas corporativas); lo importante es conocer cómo están siendo utilizadas estas aplicaciones.

El concepto Shadow Data engloba esa pérdida de control de la información que abandona los sistemas y aplicaciones controladas del entorno corporativo para ser alojada en servicios en nube adoptados por las organizaciones, pero sin posibilidad de controlar el uso, la transmisión y el alojamiento de esos datos en sistemas de terceros. Un reciente estudio[1] realizado por Elastica sobre más de 63 millones de ficheros de clientes alojados y compartidos en servicios en nube de colaboración corporativos como Box, Dropbox, Google Drive y Office 365 arroja datos de gran interés en este sentido:

• El estudio muestra que de la totalidad de los ficheros analizados el 26% están compartidos de forma amplia con entidades externas.
• Un 23% de los ficheros están compartidos públicamente, es decir, cualquier persona que tenga el enlace de compartición puede acceder a la información.
• Dentro de los archivos compartidos de manera amplia, un 10% de estos archivos se ha detectado que contienen información sensible tal como información personal (PII), información PCI, código fuente de aplicaciones, etc.

Estos datos reflejan una necesidad crítica de control adicional sobre las aplicaciones y servicios en nube que permita a los administradores de seguridad actuar sobre la información aun cuando ésta se encuentre en aplicaciones o servicios en nube. Resulta fundamental desde un punto de vista de seguridad tener la capacidad de conocer qué tipo de información se aloja en estos servicios en nube, qué usuario ha transmitido esa información, cuándo lo hizo, con quién se comparte esta información, quién ha accedido a ella, si puede ser comprometida, y ser capaces de actuar en función de toda esta información.

Y éste es el aporte fundamental de las soluciones CASB y lo que hoy en día las hace imprescindibles cuando las organizaciones se plantean la introducción de aplicaciones en nube como servicios corporativos. Pocas aplicaciones en nube permiten hoy en día tener un control y una trazabilidad sobre el alojamiento y el uso de la información por parte de los usuarios, pero además una estrategia de seguridad realizada aplicación por aplicación no es una estrategia viable. El único modo de realizar una aplicación de políticas de seguridad sobre múltiples soluciones y servicios en nube reside en emplear soluciones CASB.

Si bien existen diferentes aproximaciones en el mercado actual de las soluciones CASB, estas aplicaciones para poder ser consideradas como tales deben proveer una visibilidad plena del uso de las aplicaciones por parte de los usuarios, que ofrezcan la capacidad de detectar de forma automática el tipo de información enviada, e incluso con la capacidad de integración son sistemas de prevención de fuga de información (DLP) que las corporaciones puedan tener ya implementadas con el objeto de detectar el envío o la existencia de información corporativa sensible en estos servicios en nube, e incluso aportar la capacidad de bloquear la compartición o el acceso a esta información. Estas soluciones CASB deben aportar también mecanismos automáticos de detección de comportamientos anómalos por parte de los usuarios, con el fin de detectar posibles accesos a través de cuentas de usuario comprometidas, evitando que estos casos puedan suponer una exfiltración de información sensible.

El abanico de soluciones CASB hoy en día es amplio, si bien si se quiere hacer frente de forma efectiva a los nuevos riesgos derivados del uso de aplicaciones en nube por parte de las organizaciones han de tenerse en cuenta al menos los siguientes aspectos:

- CASB va más allá del Shadow IT, como ya se ha puesto de manifiesto en el artículo. Las soluciones cuyo fin únicamente es la identificación de aplicaciones accedidas por los usuarios y su bloqueo no hacen frente realmente al mayor reto derivado del uso de estas aplicaciones: Shadow Data.

- La solución debe aportar la capacidad de detectar uso fraudulento, envío de información sensible, y adicionalmente debe ofrecer una capacidad de protección inmediata sobre cualquier riesgo detectado.

- Una estrategia aplicación por aplicación no es efectiva. Una solución CASB debe tener la capacidad de aplicar las políticas de protección de usuarios e información sobre múltiples aplicaciones corporativas.

- Las soluciones CASB inicialmente se segregaban en función del método de protección, diferenciando entre aquellas aplicaciones que funcionan en modo proxy y aquellas que lo hacen a través de API. Hoy en día, dado que ambos métodos tienen capacidades diferenciadas, la preferencia es optar por soluciones CASB Multimodo, es decir, que permiten a sus usuarios elegir entre cualquiera de los métodos de despliegue y por tanto ofrecen un mayor abanico de posibilidades de control.

Con todo ello se entiende necesario hoy en día establecer unos controles de seguridad sobre las aplicaciones y servicios en nube personales y corporativos, controles que únicamente son alcanzables con soluciones CASB. Han de tenerse en cuenta eso si los requerimientos reales de estas soluciones y no quedarse únicamente en el Shadow IT, sino contemplar que una vez definidas aplicaciones en nube como herramientas corporativas, la necesidad de control, monitorización y protección se incrementa con objeto de evitar el Shadow Data.