What Is a Cloud Access Security Broker?

Qué es un CASB (Agente de Seguridad de Acceso a la Nube)

Cada día, su personal accede a aplicaciones basadas en la nube, ya sea Microsoft Office 365, Box o la G Suite de Google, desde toda clase de dispositivos, tanto en la oficina como de manera remota. Si su organización está buscando una manera de obtener una mejor visibilidad y control sobre su uso de aplicaciones y datos delicados en la nube, quizás le convendría usar una solución de Agente de Seguridad de Acceso a la Nube (o CASB, del inglés "Cloud Access Security Broker").

Entonces, ¿Qué es un CASB? Tal como explica Gartner, los CASB abordan los problemas de seguridad asociados con servicios externos basados en la nube y plataformas que no estén bajo su control pero que procesan y almacenan sus datos.1 Si bien los servicios basados en la nube ofrecen un cierto nivel de seguridad, la seguridad en la nube es de responsabilidad compartida. Le corresponde a usted proteger a sus usuarios, a sus cargas de trabajo y a sus datos.

La seguridad de aplicaciones basada en la nube se ha convertido en un componente esencial de una defensa integral en el mundo actual, que está en gran parte basado en la nube. Gartner estima que, para el 2022, el 60% de las grandes empresas estarán incorporando entre sus herramientas CASB seguridad, en comparación con apenas el 20% de hoy en día.

¿Por qué necesita un CASB?

Las preocupaciones relativas a la seguridad en la nube y el cumplimiento con las aplicaciones y servicios basados en la nube están impulsando cada vez más a las empresas a implementar soluciones de CASB o agentes de seguridad de acceso a la nube. Estas son:

  • “Shadow IT” (TI oculta) y la proliferación de aplicaciones externas: cuando surgieron los CASB, las empresas los implementaban fundamentalmente para contener lo que se conoce como “Shadow IT” (que consiste en usar aplicaciones y servicios en la nube sin la aprobación explícita del departamento de TI). Ahora las compañías enfrentan el desafío de tener que dirigir cientos o miles de aplicaciones externas y scripts con permisos de OAuth (que usan tokens en vez de contraseñas) para acceder a datos empresariales. Estas aplicaciones externas agregan más funcionalidades a Office 365, G Suite, Box y otras plataformas. Pero algunas están deficientemente elaboradas, o son demasiado malintencionadas. Y, una vez autorizado un token de OAuth, el acceso continúa hasta que este se revoca. Después de auditar a cada aplicación basada en la nube para sus controles de seguridad, tales como certificaciones, y otros riesgos tales como permisos de datos en general, los equipos de TI pueden tomar decisiones informadas acerca de los controles de acceso adecuados para aplicaciones basadas en la nube que sean riesgosas y pueden promover el uso de servicios "seguros" basados en la nube. 
  • Cuentas en la nube comprometidas: las aplicaciones y datos en la nube suelen ser accedidos por cibercriminales mediante cuentas comprometidas. Proofpoint analizó recientemente a más de 100.000 inicios de sesión no autorizados entre millones de cuentas basadas en la nube monitorizadas y concluyó que el 90% de los titulares son víctimas de ciberataques. El 60% de los titulares tienen al menos una cuenta comprometida en su entorno. Estas típicamente comienzan por ataques de fuerza bruta, en los que los perpetradores envían múltiples nombres de usuario o contraseñas para intentar adivinas las credenciales de los usuarios para poder acceder a una cuenta. Otro método es el phishing de credenciales, en el que intentan que los usuarios les den las contraseñas mediante correos electrónicos de ingeniería social. Ya con las credenciales en su poder, los atacantes usan estas cuentas basadas en la nube para hacerse pasar por usuarios legítimos y pedirles a los empleados que les envíen dinero o datos corporativos. Los perpetradores también "secuestran" cuentas para distribuir spam y correos electrónicos de phishing.
  • Pérdida de propiedad intelectual: el riesgo de perder secretos comerciales, diseños ingenieriles y otros datos corporativos delicados es muy real cuando los empleados usan la colaboración basada en la nube o herramientas de mensajería para compartir archivos e información. La negligencia o falta de formación de los empleados puede producir un exceso de intercambio de archivos mediante enlaces públicos a los que cualquiera puede acceder. También son comunes las amenazas internas. Un ejemplo común es el robo de registros de ventas de los clientes a servicios de CRM por parte de personal de ventas que planea abandonar la empresa. Las empresas pueden incrementar la visibilidad hacia el manejo de los datos en la nube y mejorar su seguridad de datos empleando políticas centradas en el usuario para controlar el acceso a servicios y datos en la nube mediante este tipo de soluciones de seguridad CASB cloud.  
  • Regulaciones más estrictas y multas más grandes: las organizaciones en prácticamente todos los sectores consideran que mantenerse al día con los requisitos de cumplimiento se ha vuelto complicado. Muchas regulaciones y mandatos sectoriales le obligan a saber dónde están sus datos y cómo se comparten en la nube. Las infracciones a la reciente privacidad de los datos y regulaciones de residencia pueden acarrear multas considerables. Por ejemplo, los infractores del RGPD pueden ser multados hasta por el 4% de sus ingresos mundiales anuales. Los CASB pueden facilitar el cumplimiento y ahorrarle los dolores de cabeza y el tiempo empleado en auditorías

Cómo los CASB fortalecen su posición de seguridad en la nube

Ahora que ya sabe por qué son necesarios los Agentes de Seguridad de Acceso a la Nube, demos un vistazo a sus prestaciones. Estos realizan varias funciones clave que van más allá de los cortafuegos y Gateway de internet corporativos  

  1. Administración y control de aplicaciones basadas en la nube: los CASB administran y controlan las aplicaciones y servicios basados en la nube, ofreciendo una vista centralizada de su entorno en la nube, con detalles tales como quién está accediendo a qué aplicación y a cuáles datos en la nube, desde dónde y desde qué dispositivo. Como el uso de las aplicaciones basadas en la nube se ha vuelto tan prevalente, los CASB catalogan a los servicios basados en la nube (incluyendo las aplicaciones de OAuth externas), califican el nivel de riesgo y fiabilidad general de los servicios basados en la nube y les asignan una puntuación. También suministran controles automatizados de acceso desde y hacia servicios basados en la nube según las calificaciones de riesgo basadas en la nube y otros parámetros, tales como la categoría de la aplicación y los permisos de datos.
  2. Defensa contra las amenazas en la nube: pueden ayudar a detectar amenazas en la nube monitorizando inicios de sesión sospechosos o excesivos y después enviando alertas. Además, también emplean herramientas avanzadas antimalware y de entornos de prueba para analizar y bloquear amenazas. Y, en algunos casos, los proveedores de CASB se basan en sus propias investigaciones a nivel mundial y en algunos canales externos para identificar los comportamientos y características de los ataques basados en la nube, tanto actuales como emergentes. Las sofisticadas soluciones de hoy en día también le permiten configurar políticas para eliminar automáticamente las amenazas basadas en la nube. Para tomar medidas preventivas, se pueden configurar controles adaptables de acceso, enfocados en los usuarios, basándose en el rol del usuario (tal como privilegios y estado VIP), el nivel de riesgo asociado con el inicio de sesión y otros parámetros contextuales, como la ubicación del usuario, la higiene del dispositivo y otros.
  3. Protección de datos delicados: la detección y eliminación de intercambios externos de archivos, así como prevención contra la pérdida de datos (DLP, del inglés "Data Loss Prevention"), son componentes clave de este tipo de soluciones. Por ejemplo, le permiten configurar y aplicar políticas de seguridad de datos para permitirles a los usuarios acceder solamente a ciertas categorías de datos, basándose en sus privilegios. En la mayoría de estas soluciones, la DLP funciona de manera nativa y también está integrada con soluciones de protección de datos empresariales.
  4. Cumplimiento para la nube: pueden resultar de gran ayuda a la hora de demostrar que usted está ejerciendo una buena administración y control sobre los servicios basados en la nube. Mediante la visibilidad, corrección automática, creación y cumplimiento de políticas, y prestaciones de creación de informes, los CASB le permiten cumplir con todas las regulaciones tanto sectoriales como gubernamentales. Estas incluyen mandatos regionales, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y los estándares y reglas sectoriales, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).

¿Le gustaría conocer más acerca de cómo el CASB puede ayudarle a proteger su seguridad en la nube? Visite nuestra página sobre Cloud App Security Broker.

1 2018 Gartner Magic Quadrant: Cloud Access Security Brokers

Subscribe to the Proofpoint Blog