Mesa Redonda. Protegiendo los datos corporativos en las aplicaciones basadas en cloud

La protección de los datos y de las aplicaciones en estos entornos se ha convertido en el caballo de batalla de prácticamente todas las empresas a la hora de afrontar la transformación digital que se ha producido de forma muchas veces acelerada a raíz de la pandemia del coronavirus. Para hablar sobre cómo proteger los datos corporativos en las aplicaciones basadas en cloud hemos contado en esta Mesa Redonda IT con la participación de Elena Cerrada, Responsable para España y Portugal de Forcepoint; Consuelo Fernández de Miguel, CISO de Grupo Tecnatom; Jesús Valverde, CISO de Aenor; Luis Ballesteros, CISO de WiZink y Enrique García, CISO de Stratio.

Retos de un entorno cada vez más distribuido

Para Consuelo Fernández de Miguel, “los grandes retos se basan en el concepto de teletrabajo, ya no hay perímetro. Ya toda la información está en el cloud, o está en los endpoint de los empleados, que no sabemos dónde están, conectándose desde redes de casa que tampoco somos capaces de controlar”. Además, en estos momentos estamos en un entorno de ciberguerra, con lo cual tenemos que ser muchísimo más precavidos con las cosas que están pasando. Los grandes retos son protegernos, monitorizar frente a esta ciberguerra y establecer cada vez más protección de la identidad, del endpoint y del dato.

“La ciberseguridad está en el ojo del huracán”, señala Luis Ballesteros, que añade: “vivimos en un mundo cada vez más complejo, donde los ciberdelincuentes están permanentemente explorando sus oportunidades para ver dónde pueden hacer su negocio”. Por otro lado, comenta que ir al cloud se ha convertido en una obligación, ya que el cloud implica una serie de ventajas y oportunidades a las que no se puede renunciar. “Eso sí, tenemos que ir al cloud con seguridad, tenemos que cambiar la manera de hacer ciertas cosas, pero el objetivo tiene que seguir siendo el mismo, y es que tenemos que en todo momento proteger los datos y proteger la información, y saber en todo momento quién accede a los datos y que solo aquellas personas que tienen derecho a hacerlo puedan acceder”.

Por su parte, Jesús Valverde subraya que “hoy en día estamos viendo una situación, que sobre todo se potenció muchísimo con la pandemia, de movilidad extrema”. Ya no hay un perímetro que proteger con las herramientas tradicionales. Además, la información se comparte en diferentes clouds. “Al final, nuestra obligación es proteger la información, que es uno de los principales activos, si no el principal, de todas las organizaciones. Para ello hay que ser capaces de monitorizar y de identificar todo aquello que se salga de lo habitual, para poder cortar cualquier tipo de acceso inadecuado”.

De acuerdo se muestra Enrique García, que añade como punto importante también “la protección hacia nuestro servicio que estamos dando al cliente”. En su caso, con un producto relacionado con contenedores y basado en kubernetes, toda la parte de gestión de vulnerabilidades, del cumplimiento normativo y el riesgo que puede generar a los clientes con el producto le da una criticidad extra. Además, señala como reto “la velocidad a la que tienes que solventar todo eso para cumplir con el cliente, con sus requisitos y con la seguridad y la integración de la seguridad del cliente”.

Elena Cerrada manifiesta que “todas las empresas, independientemente de en qué ámbitos estén trabajando, se están encontrando con estas situaciones y con esta problemática”. El incremento de la complejidad de un escenario de trabajo híbrido y el riesgo asociado que eso conlleva, conlleva conceptos de confianza cero. “El hecho de que al final todo ese aumento del riesgo incremente a su vez la complejidad, genera la necesidad de implementar arquitecturas nuevas”. Al final, lo que encuentran los responsables de seguridad de las empresas es una carga adicional por intentar lidiar con esa complejidad, ver cómo pueden capearla, contando con la falta de recursos que tienen. “Es un escenario muy interesante en el que estamos todos imbuidos y merece la pena trabajarlo en profundidad, porque hay que darle salida, hay que darle seguridad a todo ese contexto”.

Afrontando la protección de datos y aplicaciones

Luis Ballesteros cree que “es necesario abordarlo desde múltiples perspectivas. Nadie duda de que tenemos que aplicar medidas de protección para mantener el dato alejado de los ciberdelincuentes, pero esto no es suficiente”. Para el portavoz, es necesario seguir un buen marco de ciberseguridad que esté basado en estándares internacionales y en las mejores prácticas, de manera que no solo tenga la parte de gobierno, sino que también tenga la parte defensiva. “En un momento determinado tenemos que asumir que el ciberdelincuente va a estar dentro, que el ciberdelincuente va a poder tener acceso al dato. Entonces tenemos que tener también medidas de protección y de vigilancia para detectar eso lo antes posible y conseguir mitigar el impacto antes de que el ciberdelincuente consiga llevarse el dato y consiga su objetivo”.

“Nosotros el desembarco de mejores prácticas lo tenemos claro, son las normas y los estándares ISO”, comenta Jesús Valverde. “Al final hay una serie de controles básicos, luego toda la batería de controles que tienen estos estándares, que son prioritarios para proteger la información”. A la hora de llevarlo a la práctica, depende del ecosistema que tenga cada organización. “En nuestro caso estamos basados fundamentalmente en un proveedor que ya permite unas ciertas capacidades de protección de la información, por ejemplo con etiquetas de confidencialidad que impidan la apertura de documentos por personal no autorizado, un CASB que permita unas capacidades de monitorización y de protección incluso en cloud…”. Además añade: “lo principal es proteger, detectar y luego ser capaz de responder adecuadamente, de devolver el servicio a su funcionamiento normal”.

Por su parte, Enrique García considera que “es súper importante tener una buena trazabilidad, una buena correlación de los eventos en cuanto a la gestión de identidades”. En esa rápida detección, cree que es importante tener una gestión de identidades, una gestión de accesos y una buena correlación, que lleve a una buena monitorización y a un buen alertado, para que esa detección sea lo más rápida posible y que se pueda establecer una solución lo más rápido posible.

A la hora de hablar de su caso, Consuelo Fernández de Miguel apunta que “siempre protegemos el dato en función del análisis de riesgos y de los riesgos que este dato tenga. Hoy por hoy estamos en una fase 2 de acceso al cloud, de manera que todo lo que es IaaS y PaaS se accede todavía desde nuestra red interna, hay que pasar por el filtro perimetral para poder acceder a ese entorno”. Están estableciendo medidas de detección, de monitorización con SIEM, y todos aquellos conceptos de cifrado de la información, para evitar que se acceda a la información. También medidas para la protección del endpoint, “porque realmente por donde acaban entrando es o bien a través de un endpoint o capturando la indentidad”.

Elena Cerrada se muestra de acuerdo con el resto de ponentes, subrayando que “hay varias cosas importantes que mencionar a la hora de abordar esa protección. Lo primero es tener conocimiento exacto de qué queremos proteger”. Esa superficie de ataque se ha extendido, debido a que los usuarios están trabajando desde más sitios, los que significa mayor capacidad de acceso para los ciberdelincuentes. Por otro lado, es “muy importante disponer de una plataforma que te permita unificar lo más posible y consolidar la información que obtienes desde esos distintos canales, que la protección sea extensiva a todos los canales aplicando una única política igual a diferentes entornos y que la política sea única, sea consolidada”. Además, ratifica la importancia de valorar cuál es el riesgo que conllevan las acciones de los usuarios a la hora de acceder a la información, para establecer la seguridad teniendo en cuenta ese contexto.

La adopción de SASE

Jesús Valverde comenta que “con el proveedor que nosotros trabajamos ya tenemos un CASB, tenemos un SIEM, estamos recogiendo la información con distintos sensores, lo que sería el puesto de trabajo, el móvil corporativo, los distintos servidores que tenemos…”. Para él, lo importante no es solo tener la información, sino ser capaz de extraer el valor y de aplicar una serie de reglas que permitan identificar cuándo algo no está funcionando bien. Por otro lado, señala que “ya no hay un perímetro, ya no sabes desde dónde se puede conectar el usuario, no sabes si realmente es el usuario o no quien se está conectando”. Por ello, es importante también tener mecanismos de doble factor de autenticación y políticas de acceso condicional. “Todo esto no es aplicar y aplicar tecnología por que sí. Tú haces un análisis de riesgos, ves la información y los activos que quieres proteger y aplicas estos controles y estas tecnologías que permitan reducir ese riesgo o el impacto de que ocurra una acción perjudicial”.

Para Enrique García, “ en cuanto a nuestra plataforma, lo que siempre tratamos es de dar la capacidad de que el cliente que nos integre pueda mantener su arquitectura SASE o cualquiera de los servicios SASE que tengan añadidos, y que no rompamos esa arquitectura. Damos la capacidad de integrar al 100% sus piezas SASE con nuestra plataforma”. A nivel interno, la empresa se encuentra en expansión, ha realizado un análisis de riesgos y está marcando prioridades para adaptarse a este nuevo paradigma de nuevo perímetro, trabajo remoto y accesos múltiples desde distintos dispositivos. “Estamos en ese proceso de analizar, de ver y empezar a adoptar este tipo de arquitecturas”.

“Nosotros vamos por fases, vamos pasito a pasito” responde Consuelo Fernández de Miguel. “En una primera fase estamos adquiriendo medidas del paradigma Zero Trust, de forma que estamos intentando controlar qué tipo de equipos y con qué características se pueden conectar o no a nuestra red, y a las identidades, intentar darles a los usuarios los menos permisos posibles”. También están tomando medidas para evitar el movimiento lateral en caso de intrusión, segmentando al máximo posible las distintas redes. “En segundo lugar, vamos a implementar un EDR y estamos analizando también pilotos de CASB para ver si es una tecnología que nos puede ayudar. A medida que vayamos migrando lo que es nuestra infraestructura on premise al cloud, empezarán a aparecer servicios como firewall as a service, u otro tipo de servicios que tengamos que ir de alguna forma incorporando”.

Para acabar, Luis Ballesteros comenta su caso: “Nosotros también lo vemos como algo necesario en lo que tenemos que seguir avanzando. La seguridad es algo que no es cuestionable”. En opinión del portavoz, CASB es una tecnología que les permite abrir nuevas oportunidades y ser mucho más eficientes en los controles de acceso a ciertas aplicaciones. “Sin perder nada de seguridad, obteniendo beneficios por aquí para ser más eficientes y ganar más seguridad en el punto del dato en concreto”.

Al registrarte en este evento online, aceptas que tus datos sean compartidos con los patrocinadores y colaboradores del mismo: Evolutio|Cisco, SonicWall, Sophos, Barracuda, Palo Alto, Forcepoint, Netskope, Zscaler, Lookout, VMware, Versa Networks