“Las empresas saben que hay cosas que pasan en la nube y de las que no están enterados”, señala Adrian Sanabria, analista de seguridad senior en 451 Research Group, el cual llama a este mercado Cloud Access Control. “CAC puede proporcionar esa visibilidad”.

El problema parte de dos grandes tendencias que están ocurriendo simultáneamente: cada vez se están usando más servicios y aplicaciones basadas en la nube que viven fuera del firewall corporativo -desde Salesforce.com y Dropbox, hasta Google Apps y Amazon Web Services. Asimismo, los trabajadores están usando estos servicios, ya sea desde las laptops corporativas como desde sus smartphones. Esto ha creado una situación donde “realmente ya no hay un perímetro corporativo”, agrega Sanabria.

Ha habido soluciones a estos problemas antes que se desarrollara el mercado CASB, pero Sanabria señala que han sido menos que ideales. Los firewalls corporativos existentes pueden monitorear el tráfico que entra y sale de la red de la compañía, pero normalmente proporcionan un análisis y reporte del nivel IP. Los firewalls avanzados pueden bloquear ciertas conexiones a aplicaciones o servicios basados en la nube.

Todo esto funciona bien si los empleados están conectados a la red corporativa, donde las políticas de firewall están en su lugar. Pero, ¿qué pasa cuando los trabajadores van al café e ingresan a la Wi-Fi pública, o si están trabajando desde sus casas?

Los túneles VPN pueden ser requeridos y usados por los usuarios para que todo el tráfico viaje a través del firewall de la compañía, pero Sanabria agrega que eso puede ser difícil de cumplir y fácil de violar.

Ahí es donde el CASB entra en juego. Muchas de estas compañías ofrecen un servicio liviano, usualmente entregado como un SaaS que se sitúa entra los usuarios y el servicio de nube. Algunos de los CASB tienen un proxy que puede situarse al frente de cualquier aplicación de la nube, obteniendo el control de la misma. Así que, si un servicio como Skyhigh está habilitado con Salesforce.com, cuando los usuarios inicien sesión en Salesforce, Skyhigh va a ser un proxy sentado frente a Salesforce y monitoreando lo que los usuarios están haciendo en la aplicación, sin importar desde donde se ingrese a la aplicación.

Otros proveedores, como Netskope, instalan agentes que se colocan en los dispositivos de los usuarios y monitorean todo el tráfico desde ese dispositivo a cualquier aplicación de nube. Otros servicios monitorean la actividad de red mediante reportes de tráfico automatizado.

Mientras los firewalls tradicionales pueden reportarle a TI si un empleado está usando Dropbox, un producto CASB puede reportarle a TI qué archivos fueron subidos o descargados. Algunos proveedores de CASB cifran datos antes de ingresarlos a la aplicación SaaS. Por ejemplo, una regla puede ser que cada vez que se acceda a un archivo que contenga números de Seguridad Social, ese tráfico debe ser cifrado.

Proveedores como FireLayers pueden añadir una funcionalidad encima de una aplicación existente, como por ejemplo darle privilegio de lectura a los usuarios para ciertos documentos o requerir una autenticación de dos factores a la hora de hacer cambios a un documento. Esto pone al proveedor SaaS en lo que Sanabria llama un punto de quiebre. “Esto le permite hacer aplicaciones SaaS que están más cerca de estar corporativamente listas”, especialmente porque se relacionan con el cumplimento PCI o HIPPA, añade.

Para Levin en Western Union, el simple hecho de tener la visibilidad sobre lo que los usuarios estaban haciendo era valioso. Después de monitorear el tráfico de trabajadores usando Skyhigh, Levin descubrió un uso frecuente de los servicios de compartir y de sincronización de archivos. También enfatizó la necesidad de Levin y su equipo de TI de proporcionarse un servicio.

Western Union optó por Accellion, el cual se vende como una alternativa segura de Dropbox. Con esta aplicación, combinada con un nuevo programa apodado Western Union Information Security Enablement o WISE, Levin fue capaz de informar a los trabajadores que si necesitaban usar un sincronizador, almacenador y compartir archivos, Accellion era una muy buena opción. Ahora, si un usuario intenta acceder a otra plataforma como Dropbox, Skyhigh le manda un popup preguntándole si no prefería usar Accellion en vez de Dropbox.

Desde el lanzamiento, el uso de servicios no autorizados por parte de los empleados ha disminuido drásticamente.

Western Union prefiere usar Okta – una plataforma administradora de identidad y de inicio de sesión única -por encima de Accellion. “Estamos tratando de hacer que la gente tome las decisiones correctas, mientras les damos las herramientas necesarias para ser productivos”, señala Levin.

Brandon Butler, Network World (EE.UU)