El desarrollo de tecnologías CASB, prioritario en entornos móviles

Una mañana más, reunimos alrededor de un desayuno de trabajo a tres expertos en seguridad, representantes de tres empresas TI con diversos perfiles. Se trata de cubrir todos los ángulos de las nuevas tendencias en cuanto a soluciones profesionales para proteger los accesos realizados desde dispositivos móviles. Contamos con la presencia de Juan Miguel Haddad, End User Computing Business Manager de VMware Iberia; Miguel Ángel Martos, Regional Sales Director Europe South de Blue Coat, y Ángel Victoria, Country Manager de G Data Iberia, moderados por Rosalía Arroyo, Redactora Jefe de ChannelBiz.es.

1.- La movilidad, ¿crece de la mano de la seguridad? ¿Creéis que el BYOD está descontrolado?

Las empresas han sufrido la ‘invasión’ de los móviles que traen sus propios empleados. Mientras el CISO se desvelaba por proporcionar una seguridad perimetral, miles de empleados entraban sus smartphones y tablets para seguir haciendo el trabajo. Haddad: “Con el BYOD, se incrementó el número de frentes a proteger. La seguridad siempre va a ir por detrás, aunque este boom de la movilidad ha traído una nueva mentalidad y un cambio en la estrategia defensiva. Ahora se trata de dar total cobertura a los entornos ubicuos y posibilitar que la empresa se pueda aprovechar de sus ventajas con total seguridad”. No hay que olvidar que la movilidad es una de las patas ineludibles de la Tercera Plataforma y acrecienta los niveles generales de eficiencia.

Y es que el CISO no se puede convertir en el Señor No. Debe estar alineado con las nuevas formas de trabajar y ser productivo, debe allanar los obstáculos a los empleados y a la vez asegurar los contenidos de la empresa y defenderla de accesos no deseados. Martos: “El CISO debe estar en formación continua, conocer muy bien cómo se está desarrollando el mercado, conocer las soluciones y anticiparse a la demanda interna para poder proporcionar los mecanismos tecnológicos que permitan seguir haciendo las cosas bien y ganar en productividad”.

Y es que ya no es un asunto residual, la movilidad se ha convertido en un elemento primordial, parte inseparable de la vida privada y de la vida laboral. Por eso Martos dice que “los dos aspectos principales de la seguridad tienen que ver primero con el dispositivo en sí (blindarlo frente a amenazas), y segundo con los entornos cada vez más ubicuos de las empresas, que saltan de la red interior al cloud (protegerlo de los intrusos). Lo que más ha cambiado, sin embargo, es la percepción de la importancia fundamental del dato, de la información que se maneja desde cualquier sitio. Cada vez se trata más de asegurar dónde se encuentra la información”.

Quizás este sea el hallazgo más relevante del momento: la información es la gasolina de las empresas del s. XXI. Sin embargo, cada vez ésta es más ubicua, de fuentes de muy diversa procedencia, y no todas fiables. Para Ángel Victoria “es verdad, las redes hoy día son muy difusas, lo que acrecienta la complejidad de la protección. Primero nos lanzamos con total pasión e inconsciencia a manos de la tecnología, sin tener otras consideraciones menos glamurosas. Nos gusta nuestra nevera conectada o el coche autopilotado, pero no nos planteamos que quizás alguien pueda entrar por ahí a nuestras casas o un mal día cambiarnos el destino del trayecto… El BYOD no está superado, ni mucho menos; está bien gestionado en las grandes empresas, pero en las medianas todavía es un descontrol. No es una ecuación sencilla con tantos elementos dispares”.

Si la transformación digital de las empresas está acelerando el cambio en los procesos empresariales, la adopción de nueva tecnología es imparable, y los retos de seguridad mayores por su falta de rodaje. Juan Miguel Haddad asegura que “las necesidades de los clientes empresariales han evolucionado. Primero empezó siendo el centro de atención el dispositivo, que si se perdía uno o se marchaba el empleado se pudiera inutilizar y borrar la información que tuviera. Después fue el dato el objeto de atención, no tanto el residente en el dispositivo sino el mantenido en la fuente. Ahora los esfuerzos se están dirigiendo a la aplicación en sí, la que accede al centro de datos”.

Y ello es porque la navegación por móvil es diferente a la realizada desde el ordenador, la principal diferencia es que sólo el 5% se realiza con un navegador, el resto se hace a través de las propias apps. Por tanto, el desafío tecnológico está no tanto en proteger las URLs como las apps instaladas. Porque mientras la información viaje o proceda de puntos fuera del perímetro, el riesgo va a estar ahí. “Internet sigue siendo el principal vector de infección de malware, por tanto la seguridad debe tener en el control del acceso a la Web desde el móvil su principal campo de actuación. Para ello lo fundamental aunque no lo único es implementar políticas de navegación y prevenir malos usos. Porque la batalla del BYOD está perdida: o te dejo o te dejo, no hay más alternativa. Pero ya que está permitido, al menos que los datos de la empresa sí estén supervisados y protegidos, que haya una trazabilidad de los documentos que se envían, ofertas pedidas, presentaciones descargadas”, dice Martos.

2.- La movilidad ha revolucionado las redes WiFi. ¿Estáis viendo una mayor atención por securizar las redes inalámbricas? ¿Qué impacto tendrá en la seguridad la mayor velocidad de las redes móviles (4G/5G)?

Se han roto las cadenas que inmovilizaban al empleado en su silla de despacho. Hoy tiene libertad de desplazamientos, y puede acceder a la misma información de su puesto de trabajo desde cualquier lugar y en cualquier momento. Y lo mejor, cada vez más rápido. Miguel Ángel Martos explica que “hoy día se tiene en cuenta la red de WiFi como una capa más, aunque tiene sus peculiaridades. Sin embargo es distinto cuando lo usas en el entorno público, aunque yo no diferenciaría tanto entre red de empresa y red pública. Estoy fuera de la muralla: pues me tienes que dar escudo y armadura, jefe”.

Ocurre ahora que la ‘paranoia’ ya no es del dueño de la red por si es segura o no, sino del dueño del dispositivo que tiene que conectarse y quiere protegerse de la red. Y es que algunas redes dejan mucho que desear… Dice Ángel Victoria que “la ventaja del 4G es que antes se nos acababan los datos enseguida, pero ahora con cada vez más ofertas y tarifa s planas y más GB ya no tienes que ir corriendo al hotel a pedir la clave. No es que se elimine del todo el riesgo, pero éste se minimiza. Tenemos una falsa ilusión de que las WiFis de los hoteles son más seguras que las de los aeropuertos, pero si hiciéramos un scan…”. Y añade el responsable de G Data que “al final volvemos a lo mismo, es más responsabilidad de la empresa en haber formado al empleado, y responsabilidad del empleado de no hacer cosas ilógicas y contra el sentido común”.

El eslabón más débil sigue siendo el empleado. La mayoría de los fallos de seguridad se producen por la inconsciencia o el mal uso de los propios trabajadores, no por ataques externos. Y va a haber que leerse la letra pequeña. Lo lógico es tender hacia la seguridad compartida, si lees la letra pequeña de los servicios cloud, éstos se hacen responsables de la seguridad entre sus servidores y el centro de datos, pero no de que te roben las credenciales en una red pública”, asegura Ángel Victoria.

Muchos bancos y telcos ya están pidiendo que se implemente tecnología antivirus para dar cobertura a sus clientes finales y minimizar riesgos (sin llegar a convertirse en resellers), porque sigue saliendo más a cuenta eso que responder a los desfalcos por ataques y robos de identidad. Y es que como dice Miguel Ángel Martos, “hay que concienciarles de que el dato es dinero. Las grandes compras corporativas ahora son por adquirir datos, comprar empresas con datos pata negra: Facebook compró Whatsapp, Microsoft compró Linkedin…”. A lo que añade el responsable de Blue Coat “Puedes tenerlo todo, pero si al final vas a una página web inadecuada y te hacen phising… El CryptoLocker ha hecho estragos, y es tan de cajón… No todo son antivirus, ni todos los antivirus trabajan igual. Ya no es tanto robarte de tu cuenta bancaria, sino suplantar tu identidad y usarte para blanquear dinero, realizar ataques masivos de denegación de servicio, traficar con pornografía infantil…”.

“El límite de pago por un rescate por la contraseña de un Ransomware que se sepa ha sido de 380 millones de euros. Lo más inaudito es que hay incluso empresas que se anuncian que te cambian los euros en bitcoins para el pago de estas extorsiones, una especie de servicio web “Gestionamos tus Secuestros”. El CryptoLocker está arrasando”, apunta Ángel Victoria. “Por eso hay que estar innovando siempre. Van por delante porque su industria “del mal” es mayor que la de seguridad. Se gana más en el lado oscuro de la fuerza ya que en prostitución o juego ilegal. Y es que con una bandera pirata un hacker parecía un visionario; con una hipoteca, es su medio de vida”.

Al carro de la seguridad se están apuntando todo tipo de industrias, principalmente la banca y los operadores, pero también la automovilística o la construcción. Todas están cambiando sus prioridades, si antes estaban más volcados a las infraestructuras y después venían los servicios, ahora ya es al revés, están embarcadas en muchas guerras y la seguridad se aplica o bien por defecto o bien como un valor añadido.

3.- La movilidad, ¿está potenciando la figura del Cloud Access Security Broker (CASB)?

La movilidad y la nube han llegado para quedarse, y requieren estrategias específicas desde los responsables TI de la empresa, como el MDM y el CASB. Aunque no siempre se hacen en el orden deseado. Así lo confirma Miguel Ángel Matos, asegurando que “CASB es una tendencia clara, cada vez hay más servicios en torno al cloud, tenemos identificadas más de 12.000 aplicaciones hoy día. De las primeras que se han pasado del on-premise a la nube han sido el correo o la transferencia de ficheros. Normalmente primero se despliega; después se busca la tecnología para protegerlo; y finalmente se trata de organizarlo todo. Es un nuevo mercado, complicado de entender al principio, pero la tecnología es sencilla, una vez has aplicado las políticas para detectar las anomalías”. El CASB me va a dar esa visibilidad, es la piedra angular de la monitorización y la trazabilidad. Vamos a entornos cloud sí o sí, y todo como servicio, una capa de CASB para tenerlo todo securizado es fundamental, y las predicciones de crecimiento en este terreno son muy importantes”.

Dicho de forma más breve y definitiva, CASB significa la desperimetrización, en opinión del directivo de VMware Iberia: “Es clave, CASB significa por fin la desperimetrización. El usuario móvil se mueve fuera del perímetro y accede a la nube que también está fuera. Todo está por ahí fuera”.

4.- ¿Cómo están evolucionando las políticas de acceso y gestión de identidades en un entorno móvil?

Existe la creencia de que se están quedando obsoletos muy rápidamente los sistemas de control de seguridad de las aplicaciones Android, precisamente por la multitud de versiones del SO, modelos de terminales y las homebrew que coexisten a la vez en el mercado. Dice Ángel Victoria, que “genéticamente Android siempre ha tenido problemas de seguridad, en parte por la cantidad de nominales y firmware que no se están actualizando nunca. Una base fundamental para la seguridad es cerrar los parches y tapar agujeros, y Android no la tiene por la cantidad de gente dispersa que trabaja a la vez. Por eso hay que poner su capa por encima”. Es lo que tiene la comunidad de desarrollo… aunque para Juan Miguel Haddad hay cosas peores: “Mayor problema son esos Android de distribución china que no se pueden ni tocar, en las releases oficiales de fabricantes u operadoras todavía hay cierto control. Y apunta el responsable de G Data: “Sí, hay incluso teléfonos con malware de fábrica que se vendían en Amazon, eso sí es un problema grave”.

Sin embargo, también es cierto que es más fácil trabajar con este sistema operativo a la hora de implementar políticas de seguridad y tapar vulnerabilidades. Comenta Miguel Ángel Martos: “El reto de la seguridad móvil está en la navegación: poder meter todo el tráfico en un tubo y lo securizas. Eso es más fácil hacerlo en Android porque te deja entrar en la pila y securizar no solo del teléfono hacia afuera, también del teléfono hacia dentro. El iOS pone más trabas y hasta hace poco no se podía, pero ahora Apple colabora más con los fabricantes de antivirus y ya se está haciendo, aunque de otra manera”.

En definitiva, hay que distinguir los dos escenarios principales, según Haddad: “Si al usuario se le tiene que autenticar dentro de la red y desde cualquier dispositivo que use, mejor aplicar un sistema de single-sign-on; y si el usuario tiene que usar la nube, el modelo CASB para la autenticación es el mejor”.

5.- Hay otros usos de un smartphone: como sistemas de autenticación (Token) o como punto de acceso (Hot Spot)… ¿Qué impacto tiene este nuevo empleo en la seguridad de una empresa?

Parece que estos usos pueden suponer el principio del fin de las contraseñas, y un acercamiento más definitivo hacia la seguridad biométrica. Pero nuestros expertos no son de esa idea.“Parecía que iba a ser el principio del fin de la contraseña, pero no es viable un mundo sin contraseñas. La biométrica depende más de que la compañía quiera aplicar políticas correctas. Os contaré una anécdota, un empleado que no se podía conectar porque el móvil no le reconocía la huella dactilar y necesitaba pasar urgentemente un documento, así que el jefe le insistía que metiese su password, pero resulta que tampoco se acordaba del PIN porque siempre usaba el dedo… No hay que olvidar que el PIN es la llave maestra que necesitarás siempre de alguna manera u otra”, explica Haddad.

Para Ángel Victoria “lo malo de la huella digital es que no se puede cambiar, quizás la tecnología vaya progresando con sensores que midan la temperatura, la tensión o el flujo sanguíneo, si no alguien puede copiar la huella de uno sacada de un vaso y hacer un molde o una copia. Lo que no falla nunca es la combinación de al menos dos de los tres factores de la autenticación perfecta: algo que tú sabes (una contraseña), algo que tú tienes (un SMS a tu móvil), algo que tú eres (la parte biométrica)”.

Se tiende a tener varias políticas complementarias, si no se quiere al final tener problemas. Referente a los backups, no basta con eso, ya que solo es una remediación en caso de desastre. Añade Ángel Victoria que “hay que atacar el problema antes, porque si de verdad quieres algo que sea definitivamente ciberseguro, tendrás que volver a la libreta y el bolígrafo. Por mucho que tengas el backup al día, si es continuo y te ha entrado un virus, estará en todo el backup, el de la empresa y el del replicado. Los fabricantes podemos ayudar en definir políticas y arreglar infecciones, pero no hay nadie que pueda garantizar al 100% todo el sistema, hay un componente humano muy grande e impredecible”. Como resume Miguel Ángel Martos con cierta resignación: “Es que los buenos tenemos que acertar siempre, pero los malos con que acierten una vez ya ganan. Es un proceso de despermeabilización, de sensibilización y de educación en la empresa. Es como el último que se va de la oficina, no se le ocurre dejar la puerta abierta toda la noche”.

En un futuro próximo, el Big Data va a ayudar a predecir posibles ataques de la ciberdelincuencia. Haciendo las preguntas pertinentes y sabiendo leer las señales oportunas, llegaremos a saber si se está incubando un ataque a gran escala. Veremos una gran revolución, pero habría que ver si publicar previsiones hace que se cambien las propias previsiones, que diría un bayesiano. Y es que la seguridad es el único componente transversal que se repite desde el principio de la informática, presente en la primera, en la segunda y ahora en la tercera plataforma que engloba la nube, la movilidad, las redes sociales, el análisis Big Data y el Internet de las Cosas.

En resumen

Miguel Ángel Martos: “Nuestra aproximación es que hay que proteger el principal vector de distribución del malware en dispositivos móviles, que son la Web y el correo. Hay que proteger los datos, la ubicuidad de la red empresarial y el cloud. El desarrollo de tecnologías CASB es prioritario”.

Juan Miguel Haddad: “Al desperimetrizar, salen de la empresa los móviles, los datos y las aplicaciones. Hay que combinar los dos mundos, el MDM y el CASB, con el fin de tener monitorizada las redes. El dispositivo se tiene que enrolar a los workplaces con un simple SMS o pinchar en un link, más la autenticación de usuario con un single-sign-on. Y con la microsegmentación aislamos las app concretas en servidores concretos”.

Ángel Victoria: “Tenemos que hacer un tratamiento de los móviles como clientes de pleno derecho, que las ventajas del Windows de sobremesa se trasladen a los SO Android e iOS, y que se puedan gestionar transparentemente”.