Entrevista a Eduard Meelhuysen, de Bitglass

Sin embargo, esto genera riesgos y posibles ataques o pérdidas en los datos almacenados en la nube. En consecuencia, los sistemas de ciberseguridad también cambian y se adaptan a las nuevas necesidades. Además, la próxima entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) va a obligar a las empresas que trabajan en entorno Cloud (nube) a ser mucho más cuidadosas con la gestión de los datos con los que operan en sus operaciones.

La tecnología CASB, Cloud Access Security Broker, es y será una de las tendencias en la gestión de esta seguridad de datos en la nube. Para conocer un poco más que es CASB, hemos hablado con Eduard Meelhuyssen, VP Sales del área EMEA y LatAm de Bitglass, aprovechando la celebración en Barcelona del Gartner Symposium.

En 2018 entrará en vigor el Reglamento Europeo de Protección de Datos (RGPD) y eso va a representar un hecho muy importante en el ámbito de la ciberseguridad. Las empresas que quieran trabajar en la nube deberán tener mucho cuidado en proteger los datos. Según el reglamento, se prevén sanciones muy importantes si se emplean sin consentimiento preciso datos que estén en la nube. Este uso sin permiso de datos también afectará la reputación de las empresas que lo han ejercido, porque el mercado dejará de confiar en ellas. Es por ello que muchas grandes empresas estén centrando sus estrategias de ciberseguridad en función del RGPD.

Este reglamento va muy ligado al trabajo en la nube, porque la tendencia de los responsables de sistemas de tecnologías de la información (CIO) es que las empresas trabajen en la nube porque es mucho más barato. Sin embargo, proteger los datos que están ahí es muy difícil. Ahora mismo, los proyectos más importantes en ciberseguridad se dirigen a asegurar esa protección según lo dictado por el RGPD.

Muchas empresas cuentan con sus propios sistemas de seguridad ante ataques cibernéticos, como ‘firewalls’ o ‘webproxies’, pero en la mayoría de los casos no se cubren las amenazas que puedan venir por la nube. La tendencia para cubrirlas es el CASB, Cloud Access Security Broker. Aunque su origen data de 2011, se trata de una tecnología bastante nueva en este ámbito. Estas soluciones van a cambiar también la manera en que accedemos a las Tecnologías de la Información (IT). En la actualidad los equipos IT de las empresas son muy grandes y se centran sobre todo en las aplicaciones informáticas que existen dentro de la propia empresa. Si la intención de estas empresas va a ser trabajar en la nube, todo va a cambiar y también la manera en la que trabajan las IT. El trabajo externo se va a centrar más en desarrollar las infraestructuras necesarias para la conexión en la nube, mientras que los equipos IT de las empresas van a asegurar que las aplicaciones informáticas que emplean bajo licencia funcionan de la manera correcta. Tradicionalmente, esto no se ha referido propiamente al ámbito de la seguridad, sino más al de la productividad, pero son cosas que están cambiando. Todas estas nuevas amenazas emergentes deberían preocupar a las grandes empresas.

Las empresas medianas se adaptan a la nube de forma más rápida que las grandes, porque ven que puede ser mucho más rentable para ellas trabajar de esa manera. Sin embargo, cuando estas empresas empiezan a trabajar en el entorno ‘cloud’, piensan que con las herramientas que les proporcionan sus proveedores tecnológicos ya tienen todas las soluciones ante amenazas. Pero tras un tiempo trabajando en la nube descubren que existen amenazas que trascienden esas soluciones, que no tienen el control absoluto. Primero se lanzan a la nube para trabajar, pero cuando surgen los problemas es cuando se plantean adoptar medidas de seguridad.

Sí, el mercado de la ciberseguridad está cambiando mucho y realmente es la nube la que está impulsando este cambio. Las empresas van a trabajar de una manera diferente. Además, los dispositivos móviles son cada vez más inteligentes y pueden hacer más cosas.

Cada vez trabajamos más con el móvil y para acceder a nuestros datos de manera fácil y rápida lo hacemos a través de la nube. En muchas ocasiones, los empleados pueden conectar con el mail corporativo tanto a través del dispositivo de la empresa como del propio. ¿Cómo pueden saber las empresas que esos empleados no están haciendo uso de los datos para su provecho particular? En la mayoría de los casos, la política de la empresa es que no pueden conectar si no es mediante dispositivos de la empresa, pero esa norma no siempre se respeta. La tendencia es que podamos conectarnos con la nube desde cualquier sitio y con cualquier dispositivo y ello implica el desarrollo de una nueva forma de seguridad. La empresa debe estar segura que la persona que está accediendo a los datos tiene la autorización para hacerlo, sin bajarlos a sus dispositivos móviles. En definitiva, es otra forma de trabajar.

Cuando veo las cosas en las que hemos estado trabajando en tecnología en los últimos años, me doy cuenta de cómo ha cambiado todo. La nube proporciona una nueva forma de conexión y una forma totalmente revolucionaria de trabajar, con lo cual también se necesita una manera totalmente nueva de asegurar este trabajo, el CASB. Por aquí discurre el futuro. Y estos cambios también van a alcanzar a los equipos que se encarguen de la seguridad en internet. Estarán integrados por menos personas y sus funciones serán diferentes, gestionarán las aplicaciones que las empresas tienen en la nube de manera distinta, van a ejercer menos funciones tecnológicas. Controlarán la seguridad de las empresas en la nube y también que la infraestructura que garantice el acceso seguro a ésta funcione de manera correcta, con una conexión rápida. Todo va a estar en la nube, con lo que necesitaremos un tipo de profesional más especializado en la gestión o el mantenimiento.

El CASB ha ido evolucionando. Empezamos con, por así decirlo, el CASB 1.0, que se basaba únicamente en visibilidad. Las empresas querían saber solamente cuántas aplicaciones tenían en su nube, hacíamos un informe y se definían cuántas eran gestionadas directamente por la empresa y cuántas no, cuánta gente se conectaba y qué tráfico de datos de subida y de bajada existía. Quizás la empresa creía que sólo tenía diez aplicaciones, las que ella gestionaba directamente; sin embargo, el informe podía reportar muchas otras de las que no tenía gestión directa. Este informe no proporcionaba datos de si esas aplicaciones ‘Shadow-IT’ implicaban algún peligro o no para la seguridad de los datos de la empresa.

Con la evolución hacia el CASB 2.0, tras el informe realizado por la empresa auditora de servicios de seguridad, ésta controlaba cada una de estas aplicaciones en la nube, incluidas las ‘Shadow-IT’, permitiendo su uso, pero ejerciendo un mayor control.

La nueva generación del CASB permite un control aún mayor. Pero, ¿cómo podemos ejercer un control sobre todas estas aplicaciones, que pueden ser más de 2.000, cuántas personas vamos a necesitar para hacerlo? Los CISO, directores de seguridad de la información de las empresas, y los responsables de seguridad no buscan tanto el control de las aplicaciones, como de los datos. En esta idea se basa la nueva generación de soluciones CASB. Así, hemos pasado de ofrecer visibilidad, a controlar las aplicaciones y, finalmente, controlar los datos en las aplicaciones, y los dispositivos móviles.

Eso es lo que hace Bitglass. Estamos en el mercado desde 2013. Después de observar el comportamiento y los servicios de otras empresas y de escuchar lo que realmente necesitan los clientes, hemos comprendido cuáles son sus necesidades reales y hemos visto que la pregunta que más les preocupa es: “¿Dónde están mis datos?”

Cuando yo le pregunto a un CISO donde están los datos sensibles de su empresa, la respuesta frecuente es que no lo saben y teniendo en cuenta las obligaciones del RGPD esa respuesta no es la correcta. Los otros tipos de CASB no pueden hacer un control de los datos tan profundo como el que hacemos nosotros, porque hay dos tipos de datos que salen de la empresa, mediante las aplicaciones ‘cloud’ y a través de los dispositivos móviles. En este segundo caso, controlar ese tráfico es muy difícil, pero resulta algo vital para la empresa.

También existe el problema de la privacidad. Las empresas pueden llegar a tener un nivel de control correcto de los datos que no son suyos, pero cuando se controlan los mensajes privados de sus trabajadores de sus dispositivos móviles se puede traspasar la frontera de la privacidad. La empresa debe saber hasta dónde puede llegar su control para no violar ese límite. Eso sólo podemos saberlo cuando controlamos los datos desde su origen: desde la infraestructura de la empresa, desde las aplicaciones de nube (que también son de la empresa) y desde los dispositivos que también son de la empresa. Cuando controlamos estos tres ámbitos, tenemos el control de los datos y podemos restringir la bajada de datos sensibles, conseguimos que el usuario pueda acceder a ellos sólo para verlos, sin descargarlos, o incluso bloquear el acceso a los mismos. Con este tipo de control también podemos evitar la infección de nuestros datos por virus.

Tanto las empresas grandes como pequeñas de España están adoptando muchas aplicaciones de nube. Hoy, España es un mercado prioritario para Bitglass, al mismo nivel que Francia, Inglaterra o Alemania, no sólo por el tamaño del mercado, sino también porque vemos que su conexión a aplicaciones en la nube se hace casi siempre desde dispositivos móviles, en una proporción mayor que en otros países. Ahora mismo hay muchos proyectos en desarrollo y se están haciendo sin problemas. Los CIO deciden que deben trabajar en la nube porque eso implica un importante ahorro de dinero. Pero cuando se inicia el desarrollo, los CISO advierten de los peligros que supone trabajar en la nube sin controles de seguridad.

Hay dos tipos de empresa, las que emprenden un proyecto de seguridad antes de ir a la nube y las que lo hacen después, al cabo de un tiempo. En España –y en toda Europa- el segundo tipo es el más frecuente. Aplicar sistemas de seguridad cuesta dinero, pero empezar a trabajar en la nube supone una ganancia de dinero casi inmediata, es más rentable. Pero ante la entrada en vigor del RGPD, las empresas se dan cuenta de que necesitan esa seguridad, porque de lo contrario, si no hay un buen control de los datos pueden verse afectadas por sanciones. Esas sanciones pueden llegar al 4% de la facturación de la empresa, es mucho dinero. Invertir entonces en un CASB es muy rentable si podemos evitar ese tipo de problemas.

Eduard Meelhuysen, a la derecha, junto a Dean Hickmann-Smith, SVP worldwide field operations, de Bitglass, tras la entrevista mantenida durante la celebración del Gartner Symposium, en Barcelona.

El empleado debe saber que trabajar con aplicaciones que no son de la empresa genera riesgos y ahí tiene una gran responsabilidad. Por ejemplo, antes de enviar datos por internet debe estar seguro de a quién se los envía y de cómo lo hace, por email o mediante aplicaciones de transferencia de datos, que en nuestra vida privada utilizamos sin problemas, pero que en el ámbito laboral se trata de algo mucho más sensible. Si la empresa prohíbe trabajar con alguna de estas aplicaciones, deberá ofrecer buenas alternativas para que los empleados no vean limitada su operabilidad.

Para evitar los posibles problemas, los empleados deben haber sido instruidos sobre cómo pueden trabajar con los datos de la empresa y conocer las políticas internas de cómo usar la nube. Las políticas para trabajar con la nube deben ser muy claras para evitar que éstas puedan ser transgredidas. Si, por ejemplo, se permite conectar con la nube de la empresa a través de un dispositivo móvil particular, pero se advierte que este dispositivo será controlado por algún CASB, hay que explicar muy bien qué va a controlar ese agente de seguridad para que los empleados estén tranquilos en cuanto a que la empresa no controle sus datos privados. Asimismo, los empleados deben limitar el número de aplicaciones con las que trabajen desde sus dispositivos y estar seguros de que éstas son seguras para la empresa.

Además, en el futuro, muchos de los nuevos empleados de una empresa van a llegar con sus propias aplicaciones. La empresa debería ser lo suficientemente abierta como para aceptar esas aplicaciones, pero advirtiendo que va a ejercer un control sobre las mismas, y si el empleado acepta esas condiciones no tendría que existir ningún problema.

La evolución va a dirigirse hacia la existencia de más aplicaciones, pero centradas en las áreas de la empresa: marketing, equipo financiero, etc. Para garantizar que los datos están seguros en la nube, la evolución en temas de CASB se encaminará hacia una mayor transparencia en el aseguramiento de los datos, eso quiere decir que trabajaremos sin agente, con lo que los usuarios no van a notar que están siendo controlados.

La evolución también va a darse en las aplicaciones, porque habrá más y la seguridad que se adopte, como un CASB, permitirá que la conexión a ellas sea más sencilla y rápida. Estos sistemas también permitirán que pueda haber interconexión con aplicaciones de otras empresas y con los propios usuarios.

Bitglass asegura no sólo los datos que hay en la nube, sino también los de los dispositivos móviles. También podemos borrar los datos y ofrecemos la oportunidad de que los propios usuarios puedan hacerlo, por ejemplo, en el caso de pérdida del móvil. En el futuro eso también podrá hacerse en la nube. Vamos a tener más evoluciones y generaciones de CASB porque todo se va a trasladar a la nube. Pero lo que pueda suceder de aquí a cinco años, todavía no podemos saberlo, porque no podemos saber de qué manera va a evolucionar el uso de las aplicaciones.