"DevOps es un área absolutamente crítica para nosotros" (CyberArk)

Con 20 años recién cumplidos, CyberArk “está completamente implantada en España”, dice Roberto Llop, director regional de CyberArk para el suroeste de Europa (España, Portugal, Francia e Italia) desde hace unos meses tras pasar casi cuatro años en RSA. Inicialmente el core de CyberArk era el cifrado y protección de ficheros, hasta que se dieron cuenta de que el fichero que toda empresa necesita proteger es la contraseña; “y a partir de ahí fueron los que crearon el mercado de la gestión de credenciales de las cuentas privilegiadas”.

Este contenido fue publicado en el número de Noviembre de la revista IT Digital Security, disponible desde este enlace.

Lo que está claro es que la tarea de proteger los activos de las empresas, la información crítica y sensible, se ha vuelto cada vez más difícil, al mismo ritmo en que los entornos se han vuelto más complejos y distribuidos. Son muchas, demasiadas, las brechas que se han logrado mediante el compromiso de las contraseñas. Y es que los accesos no autorizados pueden pasar desapercibidos, y por tanto permiten a los ciberdelincuentes ver y robar información. Cuando además se trata de cuentas con privilegios, el problema de agudiza.

Explica Roberto Llop que la seguridad de accesos privilegiados es un conjunto de herramientas que permiten a las organizaciones controlar el acceso con privilegios a los recursos críticos de la empresa. La tecnología forma parte de la Gestión de Accesos e Identidades, de todo lo que tiene que ver con quién accede al dato. Teniendo esto en cuenta, ¿quién sería el cliente tipo de esta tecnología? “Cualquier organización que tenga información crítica, aplicaciones críticas, como parte de su negocio. Cualquiera, independientemente del tamaño, porque es más la criticidad de la información lo que cuenta”.

PAM (Privileged Access Management), la gestión de accesos privilegiados es vital porque según el responsable de CyberArk en España, el número de cuentas privilegiadas en las organizaciones” es entre tres y cinco veces el número de usuarios”. Enumera Roberto Llop tres tipos de cuentas: por un lado, las cuentas de sistema, es decir los administradores de Unix, de Windows, de bases de datos… Luego están las cuentas administrativas de operación, que son cuentas que se crean para que usuarios internos o gente externa pueda desde parchear sistemas, organizar backups, hacer gestiones de red, etc., “estas son cuentas numerosísimas en todas las organizaciones, muchas se crean y otras se destruyen, no todas se destruyen y no todas son igual de valiosas”. Y por último están las cuentas de aplicación, que son de máquina a máquina, de máquina a sistema, “que imagínate ahora en DevOps con todos los procesos de orquestación, automatización, IoT, etc.; son máquinas que hablan con máquinas que lanzan aplicaciones, que crean máquinas y que tienen credenciales y secretos embebidos en su código, y si ese código no se gestiona, si no se custodia, si no se rotan esas credenciales, pueden organizar unas brechas de seguridad  importantes”.

El mercado PAM empezó a moverse inicialmente entre las empresas más reguladas, como son las financieras y de seguros, las telcos o las empresas de infraestructuras críticas, y avanza hacia cualquiera que maneje información valiosa… que al final son todas.

“No nos focalizamos únicamente en las empresas grandes”, asegura Roberto Llop. El 40% del IBEX 35 ya son clientes de CyberArk, explica el directivo, añadiendo que se está haciendo mucho foco en empresas de tamaño más mediano “con recursos comerciales, técnicos y de partners”. Este foco se concreta en una nueva división de negocio creada este año “de la que estamos muy satisfechos porque estamos accediendo a un mercado que antes no se trataba de forma adecuada”.

Explica también Roberto Llop que CyberArk está completamente implantado en España; “hemos crecido a la velocidad que crece CyberArk en el mundo, pero lo más importante es que tenemos cobertura completa como estructura. Es decir que aquí no hacemos i+d, no hacemos desarrollo, pero tenemos todos los recursos necesarios para la comercialización tanto con clientes finales, y en todos los segmentos del mercado, como a través de partners”. Y no sólo se refiere Roberto Llop a recursos comerciales y recursos técnicos, sino algo más importante: “tenemos recursos de implantación locales, españoles, como recursos también de soporte: tenemos una división específica que se dedica a garantizar el éxito de los clientes (customer success) en el que todos los clientes, por el hecho de serlo, tiene un acceso a estos recursos”. En resumidas cuentas, “tenemos la posición de cobertura que nos permite afrontar proyectos con garantía completa”.

PAM, del endpoint al cloud

Está claro que controlar el acceso es esencial para la ciberseguridad, especialmente el acceso a las cuentas privilegiadas. Según datos de Verizon, el 81% de las brechas de seguridad en 2018 se iniciaron como consecuencia de una contraseña robada o débil, y un 14% por un uso indebido de los privilegios.

Controlar los accesos no sólo pasa por saber quién, cómo, cuándo y con qué permisos accede un usuario a una aplicación, sino evitar el robo de credenciales de los ordenadores de sobremesa Windows y Mac, los servidores de Windows para contener los ataques y frenar el movimiento lateral, o incluso del acceso al cloud. Sobre esto último dice Roberto Llop que es una tendencia que permite a las empresas hacer frente a la transformación digital y mejorar la eficiencia a la hora de lanzar servicios digitales, algo en lo que los modelos DevOps han demostrado ser vitales.

Los modelos DevOps son una metodología de trabajo que busca conectar a los equipos de desarrollo, o Dev, con los de Operaciones, Ops, con el objetivo de agilizar la programación y entrega de productos y servicios. Se trata, en definitiva, de realizar un despliegue rápido y eficiente de código en la nube con el objetivo de acelerar el go-to-market y la mejora continua de aplicaciones.

El problema, dice el responsable regional de CyberArk, “es que en la mayoría de los casos ni los arquitectos de seguridad ni los especialistas en desarrollo de DevOps son grandes expertos en seguridad”. Lo que está pasando, añade, es que no se están tomando todas las medidas de seguridad “y lo que nos estamos encontrando es que hay una gran exposición en cuanto a, por un lado, las cuentas privilegiadas en acceso a la nube, que son tan importante como en los sistemas físicos y, por otro lado, en las cadenas de desarrollo de DevOps hay tal cantidad de credenciales y secretos almacenados para hablar entre sistemas, que si no se implementan soluciones de gestión accesos privilegiados hay una exposición enorme de seguridad.

Conforme el DevOps ha ido avanzando, ha terminado apareciendo el concepto de DevSecOps, que no es otra cosa que el integrar prácticas de seguridad dentro de ese proceso de DevOps. La industria lo ha visto como un paso necesario, pero en realidad no termina de calar. Para Roberto Llop se trata de “área apasionante” porque, aunque todo el mundo reconoce la importancia que tiene la seguridad dentro de estas cadenas de código y dentro de las cadenas de desarrollo e integración continua, aunque entienden que necesitan hacerlo accediendo a sistemas mediante credenciales que están dentro del código, “sólo el 36% de las empresas tienen una estrategia de seguridad para entornos DevOps en este momento, y un 32% para el IoT. Es decir, que hay todavía un enorme camino por recorrer. Hay conciencia de que hay un problema, son muchas las empresas no tienen una estrategia de seguridad en entornos DevOps; así que para nosotros es un área absolutamente crítica en el que tenemos mucho camino por recorrer, en el que estamos poniendo mucho foco, y donde ya tenemos clientes importantes en España”.

Y quien habla de DevOps habla de Serverless, porque para Roberto Llop en el fondo se trata de securizar las credenciales y los secretos que almacena ese código. “A lo mejor no cubre todo lo que la tecnología está demandando, pero sí una parte muy importante en cuando a cómo custodiar, como rotar y cómo hacer seguros, y sin intervención humana, el que esas aplicaciones, esos sistemas y esas máquinas sean capaces de gestionar los accesos a los sistemas de manera segura. Por eso es un área en la que el desarrollo en los próximos años va a ser masiva. Y para nosotros es un área prioritaria de inversión, claramente”.

Implementación, riesgos y el CISO

La dificultad de la implementación de las soluciones de gestión de accesos con privilegios parece ser, según diferentes estudios, algunos de los retos que enfrenta este mercado. Sin embargo, para Roberto Llop “la implementación de cualquier solución de ciberseguridad lo que requiere primero es una fase de arquitectura y de consultoría importante. Y si se hace de forma adecuada, luego las implementaciones no tienen por qué ser necesariamente complejas”, y añade que las empresas y los responsables de seguridad se enfrentan a multitud de retos en varias áreas en las que deberían ponerse foco.

Una de ellas es “seguir avanzando en la gestión del riesgo, es decir, hacer un inventario de cuáles son tus activos más importantes, cuáles son tus amenazas, cuál puede impactar más en tus procesos de negocio, lo que te permite priorizar”. Asegura el directivo que se está avanzando mucho en esta área.

Otro de los retos del CISO es elegir las herramientas de la mejor manera. “Somos más de tres mil empresas en el mundo de la ciberseguridad prometiendo la solución mágica y los CISO tienen un enorme reto diferenciando cuál es moda y cuál es efectiva. Y tienen que evaluar las tecnologías pensando en cuál va a ser el retorno de la inversión a largo plazo. Eso es absolutamente crítico”.

Sigue diciendo Roberto Llop que la tercera parte está relacionada con la implantación de las herramientas y las soluciones a escala. “Es absolutamente importante que los CISO se preocupen de implantar las soluciones a la escala para la que las han comprado, y por eso la consultoría y el diseño es absolutamente crítico”, apunta el directivo haciendo referencia a muchos proyectos fallidos porque se diseñan para implantarse a una escala de una división, o de un grupo de aplicaciones, o de un grupo de sistemas, y luego se les quiere dar una escala mucho mayor.

El cuarto gran reto al que se enfrenta el CISO, “y nosotros pensamos que es tan importante como los anteriores, es cimentar lo básico, cimentar los controles básicos de la seguridad. Y entre los básicos siempre, en cualquier marco de seguridad, está la gestión de las cuentas de acceso privilegiado”.

Consolidación por arquitectura vs fabricante

Aparecido el tema de la cantidad de herramientas a las que se enfrentan los responsables de seguridad de las empresas, no sólo en cuanto a tener que escoger, sino en la cantidad a gestionar, preguntamos a Roberto Llop por qué aproximación se decanta ante esta situación: si consolidar la seguridad adoptando una arquitectura que me permita gestionar todas las herramientas de una manera más automatizada y transparente, o consolidar la seguridad reduciendo el número de fabricantes o incluso apostando uno global.

“Creo que en la selección de las herramientas se tiene que ser extremadamente cuidadosos atendiendo a tres cosas, que son también aspectos diferenciales de CyberArk”, dice Roberto LLop. Menciona en primer lugar la simplificación como el elemento que lleve a que la experiencia de uso de las herramientas sea lo mejor posible “y que te permita integrarte con todo el resto del ecosistema de seguridad que tienen las empresas. Nosotros dentro de CyberArk tenemos un programa de alianzas tecnológicas con, por ejemplo, empresas de gestión de identidades, con empresas de gestión de vulnerabilidades, con empresas de herramientas SOC, integraciones nativas con todos los partners del mercado que hacen que se pueda simplificar de alguna manera la experiencia tanto del usuario como en la integración”.

El segundo criterio que menciona el responsable de CiberArk es la automatización, que no es otra cosa que tener herramientas que puedan hablar con todo tipo de sistemas y que puedan ser lo más inteligentes posible para lanzar procesos de la manera más automática posible. Y el tercer y último criterio a tener en cuenta por el CICO para consolidar el número de herramientas es la disminución del riesgo. Dice Llop que la gestión del riesgo tiene múltiples aspectos; “nosotros desde CyberArk pensamos, modestamente, que contribuimos a mejorar el riesgo de las implementaciones porque cubrimos muchos más aspectos de los que cubre cualquier herramienta que haya en el mercado en cuanto a gestión de accesos y cuentas privilegiadas porque tenemos todas las herramientas de gestión clásica, tanto on-premise como en la nube, llegando hasta el puesto de trabajo y también a través de todas las cadenas de desarrollo de DevOps, y eso es un valor añadido muy grande a la hora de adoptar una estrategia gestión de accesos privilegiados muy grande”.

¿Un mundo sin contraseñas?

Teniendo en cuenta que CyberArk nació para proteger las contraseñas y que desde hace tiempo se habla del fin de las mismas, le preguntamos a Roberto Llop si visualiza un mundo sin contraseñas: “Aunque lo intento, no”, dice el responsable regional de CyberArk. Menciona la autenticación multifactor como una tecnología que “está para quedarse de manera infinita”, así como “las credenciales y los secretos entre sistemas y aplicaciones, sobre todo a medida que nos automaticemos cada vez más. Yo no lo veo. Y eso nos obliga a avanzar en la oferta, a pensar cuáles son los puntos más débiles que las organizaciones encuentran a medida que avanzan en la transformación digital; y pensamos que las credenciales y los secretos es el área en la que nos vamos a focalizar en los próximos años, sin duda”.

Rosalía Arroyo