Shadow IT discovery: identifica aplicaciones cloud usadas sin aprobación IT. Reportes muestran apps populares, usuarios involucrados, datos sensibles transferidos.
Qué es CASB
CASB (Cloud Access Security Broker) es una plataforma de seguridad que monitorea, controla y protege el acceso de usuarios a aplicaciones cloud (SaaS, IaaS, PaaS). Implementa visibilidad de shadow IT (aplicaciones no autorizadas usadas por empleados), control de acceso basado en políticas, detección de malware en cloud, y prevención de pérdida de datos (DLP). CASBs actúan como proxy entre usuarios y servicios cloud para inspeccionar tráfico, autenticar, autorizar, y generar alertas sobre comportamiento anómalo o incumplimiento de políticas.
Por qué importa
Tendencia de cloud-first y trabajo remoto aceleró adopción de SaaS (Slack, Salesforce, Google Workspace, Microsoft 365) sin supervisión central. CASB cubre gap crítico: si empleado accede Dropbox personal, Gmail no autorizado, o SaaS con credencial comprometida, CASB lo detecta y bloquea. Sin CASB, CISOs tienen visibilidad nula de qué aplicaciones cloud usan empleados. Regulaciones exigen control: ISO 27001 requiere control de acceso a sistemas externos; NIS2 para servicios financieros críticos exige visibilidad de cloud; DORA requiere governance de terceros cloud. Ataques a SaaS son frecuentes: compromiso de credenciales, phishing dirigido a usuarios cloud, configuración débil (unidades compartidas públicamente), y robo de datos. CASB + integración con directorio (AD/Entra) + MFA es defensa esencial.
Puntos clave
Data Loss Prevention (DLP): monitorea transferencia de datos hacia cloud; bloquea si archivo contiene datos sensibles (credenciales, PII, secretos comerciales).
Integraciones de directorio: sincroniza usuarios, grupos y permisos de AD/Entra; revoca acceso automático si usuario es terminado o cambia rol.
Detección de amenazas cloud: identifica malware, comportamiento anómalo (login desde ubicación imposible, descarga masiva), y actividad de APT dirigida a SaaS.
Ejemplo: Shadow IT expone datos en Dropbox no autorizado
Empleado de marketing usa Dropbox personal para compartir presentaciones de productos con agencia externa. Sin CASB, TI no sabe esta transferencia ocurre. Dropbox personal tiene contraseña débil; atacante accede, descarga deck de nuevo producto 2 años antes de lanzamiento, vende a competidor. Impacto: pérdida de ventaja competitiva. Con CASB: 1) detecta automáticamente que empleado usa Dropbox (shadow IT), 2) genera alerta porque se detecta transferencia de archivo sensible hacia cloud personal, 3) bloquea acceso a Dropbox.com, 4) TI investiga y descubre la práctica, implementa Google Drive autorizado con DLP para monitoreo.
Errores habituales
- Asumir que firewall + proxy web tradicional protege cloud; CASB inspecciona aplicaciones SaaS que usan HTTPS/TLS; proxy tradicional no desencripta SaaS.
- Implementar CASB pero no integrarlo con directorio/MFA; políticas de CASB no sincronizadas con cambios de usuario (termination tardío, rol antiguo) = gaps.
- No configurar DLP correctamente; CASB deja pasar transferencias de datos sensibles si no se definen políticas de qué es sensible (patrones de PII, keywords, clasificación de datos).
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre CASB y CSPM?
CASB monitorea acceso de usuarios a aplicaciones SaaS (control de sesiones, detección de malware, DLP). CSPM (Cloud Security Posture Management) audita configuración de infraestructura cloud (buckets S3 públicos, permisos IAM débiles, encryption en reposo). Ambos son complementarios: CASB = protección de acceso; CSPM = hardening de configuración.
¿Un CASB puede bloquear aplicaciones cloud?
Sí. Puede bloquear por política: si Dropbox personal no está autorizado, CASB bloquea acceso a Dropbox.com. Pero debe hacerlo inteligentemente: no bloquear Gmail si usuarios legítimos lo usan para trabajo, o cooperación fallará. Categorización de apps (approved, tolerated, prohibited) es esencial.
¿CASB reemplaza a VPN en trabajo remoto?
No. VPN encripta tráfico entre usuario y red corporativa. CASB protege acceso a SaaS directo. Arquitectura moderna: Zero Trust Network + MFA + CASB + DLP. Usuario autentica, conecta a red zero trust, CASB monitorea acceso a SaaS y bloquea transferencias de datos sensibles.