CASB: combatiendo los peligros de acceso a información en la nube

Lo comentábamos a principios de semana. Una de las tendencias del sector pasa por trasladar los programas y herramientas que utilizamos a servicios externos, gestionados en servidores de alto rendimiento y a los que accedemos mediante credenciales de usuario, habitualmente desde internet.

CASB

Esto ocurre así desde hace unos años, y parece que vivirá una nueva edad de oro gracias al streaming y la virtualización, que están llevando al mercado hacia una nueva descentralización de servicios.

Lo vemos en nuestro día a día como usuarios, y lo estamos viendo en el puesto de trabajo ¿Hay muchas empresas que sigan utilizando servidores físicos en detrimento de propuestas basadas en housing o dedicados? ¿Existen muchas organizaciones que mantienen ese servidor de correo dentro de la compañía si las comparamos con las que lo hacen en servicios de Google para empresas u Outlook? ¿Es habitual en las PYMES (ya ni hablemos de grandes empresas) que el escritorio esté centralizado en un servidor físico y local? La respuesta a todas estas preguntas es un NO rotundo, y viene dado porque a grosso modo, las ventajas de apostar por una arquitectura SAAS (software como servicio) superan a los inconvenientes (flexibilidad, escalabilidad, nula necesidad de mantenimiento frente a pertenencia y control).

Sin embargo, si hay un punto que eche para atrás a cualquier empresa a la hora de dar el salto a la nube (y descontando esa absurda creencia de que acaba por salir más caro que mantener los servicios dentro de la misma) este es sin duda la seguridad y privacidad.

Del primero, hablamos recientemente. Un servicio que funciona en local, habitualmente, acaba por ser más inseguro que uno que está gestionado por una empresa que se dedica precisamente a eso. Mantener tu propio servidor requiere de trabajadores dedicados a ello, que establezcan y controlen un sistema de backups incrementales, que actualicen y monitoricen continuamente sus elementos. Este tipo de servidores corren más peligro de fallo que otros conectados en un data center, protegidos ya no solo por medidas de seguridad digitales, sino también físicas, y que funcionan bajo el paradigma de la virtualización.

Ahora bien, queda por tanto un escollo que salvar, y es la privacidad. Si el servidor funciona en local y no tiene acceso a internet (ni él, ni los dispositivos que se conectan a él), está claro que el sistema es más privado que otro que esté expuesto a internet (aunque la empresa suministradora del servicio haya tomado las medidas de seguridad oportunas), al menos para cualquiera externo a la propia compañía. Las fugas de información pueden venir de fuera (fallos de seguridad explotados) o de dentro, y ahí es donde entra la figura de un CASB, un servicio (normalmente proxy) que hace de intermediario entre las peticiones del trabajador y el servicio alojado externamente, asegurándose que no se vulnera en ningún momento la política de privacidad de la empresa.

Lo interesante de los CASB es que funcionan y son gestionados desde la propia compañía, y compatibles con las medidas de seguridad que haya tomado el proveedor del servicio. Gestionan por tanto el uso que se le da a la información, y no la propia seguridad del sistema, que entendemos estará bien gestionada por el tercero.

Se instala en los dispositivos que utilicen los trabajadores, y se encargan de inspeccionar todo el tráfico (con el fin de mantener un log para posibles auditorías futuras) segmentado por servicios, pudiendo establecer distintos frentes (por ejemplo, evitar que se envíen documentos por email o cifrar las comunicaciones con el servicio de contabilidad).

Opera desde el propio dispositivo, lo que asegura que la protección cubre desde el momento en el que la acción comienza (por ejemplo, crear un documento) y hasta que llega a los servidores de la compañía, que pueden o no contar con sistema de verificación para evitar conexiones no autorizadas por el CASB (ya no solo no autorizadas por el propio servidor).

Recuperamos por tanto el control de la información, hacemos un seguimiento de la evolución de cada petición y podemos identificar con ello las posibles fugas o tareas poco optimizadas que afecten al buen devenir del sistema.

Como aspecto trascendental a la hora de implantar un sistema de CASB en la empresa, hay que considerar la compatibilidad con los sistemas utilizados dentro de ella, ya que por la propia idiosincracia de algunos, puede que el ámbito de actuación de un CASB se vea mermado, o incluso ineficiente.

Aún así, es quizás la mejor alternativa que tenemos para paliar los problemas que acompañan a la utilización de una nube dentro de una organización, y disfrutar, ahora sí, de todas sus ventajas.