La adopción de servicios y aplicaciones basados en la nube mejora significativamente la productividad de las empresas y el trabajo remoto, expandiendo la capacidad de contratar personal incluso en diferentes ubicaciones nacionales o internacionales.
Ahora, la pregunta que debemos hacernos es ¿cómo podemos asegurar que las políticas y seguridad que se tienen en la plataforma física de la compañía se extiendan para dar cobertura a las nuevas demandas que usa la computación en la nube? A continuación, vamos a explicar algunas de las tecnologías a las que las empresas se enfrentan en este nuevo esquema de trabajo y que pueden dar solución a este problema.
- Shadow IT: El aumento de aplicaciones en la nube y que los usuarios usan habitualmente hace que se abra una brecha de seguridad ya que no se tienen conocimientos suficientes de aquellas aplicaciones que se están usando y mucho menos el riesgo que existe en el uso de estas. En ocaciones hasta un simple aplicativo para convertir un archivo de Word a un archivo PDF puede exponer la información confidencial de la compañía. Existen herramientas que a través de una base de información basada en los registros de navegación (logs) y de los dispositivos perimetrales (Proxy o Firewall) pueden ayudar al departamento de TI a determinar cuáles son las aplicaciones que los usuarios están usando. Adicional les permite determinar si estas cumplen con los requerimientos mínimos de seguridad, y en caso de no hacerlo, si estos pueden ser cubiertos por controles adicionales para así sancionar (permitir) su uso, monitorearlo o simplemente bloquearlo.
- Web Gateway: Este es un dispositivo o servicio SaaS el cual actúa como punto de entrada para acceder a otras redes, más conocido como Proxy, este servicio cada vez evoluciona para garantizar los controles de acuerdo con la evolución de las aplicaciones y riesgos asociados a la computación en la nube. Actualmente se puede conseguir este servicio con protecciones básicas como lo es filtrado de navegación basado en categorías, aplicaciones o URL, pero los fabricantes cada vez incorporan más controles como el control de amenazas avanzadas o la capacidad de realizar Web Isolation (Aislamiento del navegador). Esta capa de seguridad permite crear una distancia entre el navegador del equipo y el sitio WEB que se está visitando y de esta manera proteger el dispositivo ejecutando la página original, en el servicio de aislamiento, permitiendo que el usuario acceda de una manera segura al sitio sin la necesidad que los códigos presentes afecten al dispositivo.
- CASB: (Cloud Access Security Broker) La adopción de Servicios SaaS como Office365 o Gsuite permite reducir los recursos usados en las plataformas on-premise. Con los servicios SaaS podemos trasladar estos servicios a un proveedor de servicio en la nube, que también debe ser monitoreado y al que se le deben aplicar controles. “CASB” nos permite determinar cómo es usada la información en estos recursos de nube y determinar el grado de exposición de los documentos de la compañía ya cargados a estos repositorios (datos en reposo). Adicionalmente ofrece reglas para detección de información confidencial DLP ya sea en el mismo servicio o integrándose con soluciones especializadas para este fin. También existen reglas para detección de comportamientos anómalos de los usuarios y políticas de bloqueo: acceso a otros portales diferentes a la compañía, carga y descarga de información y bloqueo para compartir información.
- Zero Trust (ZTN): Este modelo implica dar acceso a los recursos de la compañía a dispositivos administrados o no administrados sin la necesidad de configurar o instalar clientes VPN en los dispositivos que acceden desde redes externas. Este servicio consta de un portal web (Servicio SaaS) el cual usa un conector instalado en la red corporativa el cual sirve como un intermediario para el acceso a los recursos. Este servicio está en la capacidad de ofrecer acceso especifico a los servicios internos de la compañía por medio de un portal de acceso facilitando el acceso y aumentando la seguridad ya que no es necesario abrir puertos de conexión en el firewall.
- SASE: (Secure Access Service Edge) esta es una estrategia usada para proporcionar controles a los servicios de computación en la nube. Para la implementación de SASE se deben adoptar todas las tecnologías antes descritas en conjunto para así poder ofrecer todos los controles y proteger así los activos físicos y de la información de la compañía
Existen diferentes fabricantes de Software y hardware para cada uno, se recomienda hacer un análisis de cada una de ellas para poder así escoger cual es la mejor para cada una de ellas también se debe analizar la capacidad de integrarse con otros para así cubrir todas las necesidades con el mínimo esfuerzo en la implementación y administración.
En Interlan podemos ayudarlo a proteger toda su información y aplicaciones en la nube. No dude en contactarse con nosotros y estaremos muy atentos para atenderlo.
Autor: Diego Vera Caceres
