Llegamos a ustedes gracias a:



Reportajes y análisis

Diez startups de seguridad en la nube a seguir en el 2014

[13/02/2014] El mercado de herramientas de seguridad en la nube está en auge. En realidad está a la zaga del mercado de servicios de nube pública, lo que significa que el sector de seguridad debería experimentar un crecimiento importante en los próximos años. Gartner estima que el mercado de servicios en la nube pública crecerá a 207 mil millones dólares en el 2016. A menudo somos escépticos respecto a las previsiones de los analistas (nadie vende informes que predicen un pequeño mercado, después de todo), pero esta estimación en realidad podría ser baja.
El mercado de servicios de nube pública ya se disparó desde los 91 mil millones de dólares a nivel mundial en el 2011 hasta los 109 mil millones de dólares en el 2012, y a medida que surgen más herramientas de seguridad en línea para ayudar a aumentar la confianza de los servicios de nube pública, el crecimiento debería comenzar pronto. A continuación, diez nuevas empresas de seguridad en la nube que podrían ayudar a impulsar la adopción de la nube en el 2014 y más allá:
1. Bitium
Lo que hacen: Proporcionan herramientas de gestión de aplicaciones en la nube y de análisis bajo un single-sign-on.
Por qué están en esta lista: Los empleados de las organizaciones de todos los tamaños interactúan con docenas de aplicaciones de múltiples dispositivos a lo largo de sus jornadas laborales -esto incluye aplicaciones de la empresa, aplicaciones sociales, aplicaciones móviles y muchas más.
Bitium cree que dos tendencias están convergiendo, lo que hará que esta situación sea aún más difícil de manejar. Las tendencias duales de traer su propio dispositivo (BYOD) está ahora coincidiendo con el fenómeno de Traiga su propia App (BYOA). Si no permite que las aplicaciones corporativas sean utilizadas en los dispositivos de propiedad de los empleados, los empleados conocedores simplemente cambiarán a sus propias aplicaciones alternativas. Y si prohíbe ciertas aplicaciones en los dispositivos de propiedad de la empresa, los empleados tendrán acceso a ellas en sus propios dispositivos.
Esto pone a las organizaciones en una situación difícil y deja a muchos con poca visibilidad sobre qué servicios se están utilizando, y qué tipo de información confidencial de la empresa potencialmente se está compartiendo.
La mayoría de las herramientas de gestión de aplicaciones que prometen seguridad a menudo lo hacen a expensas de los usuarios finales. Muchos de estos servicios son tan complejos que requieren de una sesión de entrenamiento con el departamento de TI corporativa para configurar las cuentas.
Bitium argumenta que proporciona una solución que da prioridad a la seguridad sin sacrificar la facilidad de uso. Con Bitium, los usuarios pueden acceder a más de mil aplicaciones basadas en la nube con un inicio de sesión único. TI es capaz de conceder y revocar el acceso a las aplicaciones de forma segura a los empleados y socios en un clic (sin compartir las contraseñas).
En comparación a otras soluciones de SSO/autenticación, Bitium añade una pieza clave de funcionalidad: la analítica. Con Bitium, TI gana visibilidad sobre qué aplicaciones están utilizando regularmente los equipos de trabajo -permitiendo a los administradores detener las conductas de riesgo y ahorrar dinero mediante el cierre de las cuentas no utilizadas. El departamento de TI y los líderes empresariales también pueden ver la actividad de las aplicaciones dentro de una empresa a través de las herramientas de comunicación de Bitium -que envía mensajes (estilo push) y notificaciones de las aplicaciones instaladas en un solo flujo. Sus clientes incluyen a Prialto, OpenTable, Act- On, y Media Temple.
Panorama competitivo: Los competidores incluyen a Okta, OneLogin, Ping Identity y Symplified.
2. BitSight Tecnologies
Lo que hacen: Ofrecen un servicio de rating de seguridad de la información, que ayuda a las organizaciones a evaluar los riesgos al trabajar con socios, proveedores, subcontratistas, etc.
Por qué están en esta lista: Hoy en día, las organizaciones tienen cientos de socios de negocios con los que comparten datos sensibles. Esto los expone al riesgo de fallas a través de una red de socios. Según BitSight, los incumplimientos de terceros son la causa de una asombrosa cantidad de ataques cibernéticos, y actualmente no existe un método objetivo de hacer el seguimiento de los riesgos de seguridad que plantean los socios.
La plataforma global de BitSight ayuda a gestionar este riesgo mediante la recopilación y el análisis de terabytes de información sobre comportamientos de seguridad, y luego valorando a las empresas por su efectividad en seguridad. Al igual que en las calificaciones de crédito para consumidores, SecurityRatings BitSight está automatizada y se guía por completo de datos disponibles externamente. El resultado: las organizaciones están apalancadas para identificar de forma proactiva, cuantificar y mitigar los riesgos de seguridad a lo largo de sus ecosistemas.
Los usuarios reciben actualizaciones diarias sobre las calificaciones de sus proveedores, actualizaciones que proporcionan información detallada sobre comportamientos sospechosos, como la participación en un intento de DDoS o comunicación con una botnet conocida. Los comportamientos aberrantes son analizados luego para ver la gravedad, frecuencia, duración y confianza, y así crear una calificación general de la salud de la seguridad actual en la organización.
Panorama competitivo: Por el momento, BitSight tiene una posición única en el mercado de seguridad. Sin embargo, CloudeAssurance ofrece un servicio similar, solo que su atención se centra en los proveedores de servicios en la nube, en lugar de en una red de socios.
3. CipherCloud
Lo que hacen: Proporciona una plataforma de ofertas unificadas de protección de información en la nube.
Por qué están en esta lista: Las organizaciones pasan momentos difíciles al momento de administrar los riesgos de la computación en la nube, asegurando los datos ahí alojados, y manteniendo el cumplimiento de diversas regulaciones de la industria, ya que adoptan cada vez más aplicaciones y servicios en la nube.
El enfoque de seguridad unificado de CipherCloud debería ayudar a aliviar las preocupaciones de los CIO, a medida que llevan más datos a la nube. CipherCloud protege los datos en la nube a través de una plataforma que incluye cifrado, tokenización, DLP, detección de malware, y actividades de auditoría.
CipherCloud ofrece versiones de su producto diseñadas específicamente para Salesforce.com, Office 365, Box, Gmail y AWS. La compañía afirma que tiene más de dos millones de usuarios y que protege más de 200 millones de discos de registros para algunas de las firmas más grandes del mundo: bancos, proveedores de salud, aseguradoras y organismos gubernamentales. La lista de sus clientes incluyen a: Mitsubishi UFJ Global Custody, Novati Technologies, y el Caribbean Credit Bureau.
Panorama competitivo: Los competidores incluyen a Gazzang, PerspecSys, Porticor, Vormetric y Voltage Security.
4. HyTrust
Lo que hacen: Desarrollan herramientas de seguridad de virtualización, que las organizaciones pueden utilizar para hacer cumplir políticas centralizadas sobre infraestructuras virtuales y de nube.
Por qué están en esta lista: Las infraestructuras virtualizadas y de nube crean para el personal de TI nuevos reto de seguridad, control, gestión y desafíos de cumplimiento. Las organizaciones toman grandes riesgos cuando se trasladan a la nube, o se basan en la virtualización cuando las aplicaciones críticas y la información sensible no se aseguran correctamente.
HyTrust Appliance ofrece control de acceso, aplicación de políticas a través de las infraestructuras virtuales, fortalecimiento de la seguridad del hipervisor, y logueo con calidad de auditoría. Al cumplir con estos requisitos, HyTrust es capaz de proporcionar a las organizaciones el control y la visibilidad necesaria para que virtualicen aplicaciones de Nivel 1 , cumplan con los requisitos de gobernanza corporativa, y eviten costos por tiempos de inactividad u otras interrupciones en los negocios, posiblemente más graves.
Los clientes incluyen a AIG, El Ejército de los EE.UU., Northrop Grumman , Pepsi, McKesson , Home Shopping Network, la Reserva Federal de Chicago, la Universidad de Berkeley, el Estado de Nuevo México y el Denver Museum of Nature & Science.
Panorama competitivo: El mercado de seguridad en la nube está increíblemente saturado, pero HyTrust ha labrado un nicho sólido, centrándose en las vulnerabilidades del hipervisor . Los competidores incluyen Altor Networks (ahora Juniper) y Catbird.
5. ForgeRock
Lo que hacen: Brindan soluciones de gestión de identidad
Por qué están en esta lista: Las identidades y el acceso a las aplicaciones, son dos de los principales desafíos a la seguridad en la era móvil/social/de nube. Sin embargo, la mayoría de las soluciones siguen apuntando a productos que hacen poco por unificar la gestión de identidades.
ForgeRock ofrece una "pila de identidad unificada, de código abierto para proteger las aplicaciones empresariales, de nube, sociales y móviles a escala de Internet. Open Identity de ForgeRock está construida para satisfacer las necesidades de la próxima generación de gestión de identidad y acceso (IAM), sobre todo a medida que a más y más gente y cosas se le asignan identidades a través de las redes.
Por otra parte, ya que los clientes esperan vincularse más con los negocios, las empresas están haciendo el cambio a soluciones IAM de cara al cliente, y la solución de ForgeRock está diseñada para satisfacer las necesidades emergentes. Los clientes incluyen a Deloitte, Thomson Reuters, Aberdeen Asset Management, y Vodafone.
Panorama competitivo: Los principales competidores son Oracle y CA Technologies. También hay una serie de nuevas empresas en este espacio, incluyendo OneLogin, Okta, SecureAuth y varios otros.
6. MyPermissions
Lo que hacen: Brindan un servicio que ayuda a los usuarios a administrar, controlar y vigilar qué aplicaciones y sitios web tienen acceso a su información personal.
Por qué están en esta lista: Cada vez que se suscribe a un nuevo servicio en línea, se le pedirá información personal -información que un atacante podría utilizar para el robo de identidad. Por ejemplo, Facebook reveló recientemente que había más de 850 millones de conexiones de terceros realizadas con Facebook Connect.
Mientras tanto, 82 de las apps más populares de iOS usan algún tipo de conexión social para validar a los usuarios, y 63 de las mejores apps Android hacen lo mismo.
Las soluciones móviles y para web de MyPermissions monitorean la información personal de los usuarios y les proporcionan alertas cuando las aplicaciones o servicios tratan de acceder a piezas de su información personal (fotos, información financiera, datos de ubicación, etc.). Las soluciones también permiten a los usuarios revisar que aplicaciones y servicios tienen permisos, así pueden decidir si permitir o negar que la app que solicita autorización haga algo como publicar en nombre del usuario, acceder a sus contactos o usar una foto personal. Los clientes comerciales incluyen a Vod.io , EQuala.fm, Sytlemarks y Any.DO.
Panorama competitivo: Los competidores incluyen a Secure.me y Privacy Choice.
7. Netskope
Lo que hacen: Proporcionan analíticas de nube y aplicaciones, además de herramientas de creación de políticas que eliminan la brecha entre ser ágil [y ser] seguro, y a la vez hacen que la empresa cumpla con las políticas de seguridad, al proveer una completa visibilidad y hacer cumplir sofisticadas políticas en apps de nube.
Por qué están en esta lista: El último obstáculo para la integración de los servicios de nube pública es la confianza. Si las organizaciones no pueden confiar en las políticas de seguridad y en las prácticas de protección de terceros proveedores, el crecimiento será lento. Una vez que la seguridad en la nube esté a la par con la seguridad tradicional, la adopción se incrementará drásticamente.
Netskope argumenta que las aplicaciones en la nube ya han llegado a un punto de inflexión en la empresa. Aunque TI tiene la propiedad o administración de algunas aplicaciones de nube, los empleados tienen ahora más poder que nunca para ir fuera del departamento técnico y hacerlo por ellos mismos, creando todo el problema de Sombra de TI.
Conseguir dominar la Sombra de TI significa que tiene que descubrir estos servicios. Netskope ayuda a las empresas a hacer esto, proporcionando visibilidad del uso de apps dentro de la nube empresarial y haciendo cumplir políticas para hacerlas seguras, cumplidoras y de alto rendimiento.
Netskope realiza un análisis profundo y deja que los responsables de TI creen políticas con unos pocos clics que protegen los datos corporativos y optimizan el uso de apps en tiempo real y a escala.
Panorama competitivo: Este subsector de seguridad en la nube está muy abierto en estos momentos. Skyhigh Networks es el primer jugador en el espacio, pero esperamos ver que varias nuevas empresas surjan de modo sigiloso en el 2014.
8. Prevoty
Lo que hacen: Proporcionan seguridad basada en la nube que protege las aplicaciones web asegurándolas por contexto y monitoreando todo el contenido, las sesiones de usuario y el comportamiento de la aplicación.
Por qué están en esta lista: Las empresas están luchando por proteger las aplicaciones web y el contenido del usuario dentro de las aplicaciones, debido a la naturaleza diversa y distribuida de la web. Con APIs abiertas, el acceso no controlado de usuarios y la propagación de contenido, tanto a los desarrolladores web como a los equipos de seguridad les resulta imposible defenderse de la gran cantidad de amenazas.
La solución de seguridad basada en la nube de Prevoty protege las aplicaciones web (y el contenido de usuario) a través del uso de la "seguridad contextual que se centra en el comportamiento de los contenidos en el contexto de la aplicación web".
Prevoty analiza e interpreta todo el contenido de la aplicación web para protegerlo contra amenazas OWASP, evitando cross-site scripting (XSS), inyecciones de SQL (SQLI), y falsificaciones de solicitud cross-site (XSRF). Diferencia el buen contenido del malo, así que los riesgos asociados con el contenido subido por el usuario se mitigan. Todo esto se hace en tiempo real y sin depender de definiciones anteriores. Las organizaciones también pueden implementar su propia lógica de negocio para personalizar la configuración. El sistema de Prevoty también incluye una sólida autenticación, análisis de amenazas en curso, alertas y funciones de optimización de rendimiento.
Panorama competitivo: Prevoty compite contra Web Application Firewall (WAF), proveedores como Citrix, F5, Radware, y A10 Networks. Prevoty se distingue por su enfoque en los comportamientos, en lugar de en listas negras, y por la entrega de esta solución como servicio, en lugar de mediante un appliance.
9. Skyhigh Redes
Lo que hacen: Ofrecen una suite de ciclo de vida y seguridad de la nube, la cual investiga, analiza y asegura diversos servicios en la nube.
Por qué están en esta lista: Skyhigh Networks tuvo un buen año en el 2013, asegurando una ronda de financiación considerable en mayo y la liberación de Skyhigh Secure, una solución de seguridad de nube de extremo a extremo, en agosto.
Cloud Risk Assessment de Skyhigh descubre y cuantifica el uso de la nube de la empresa, proporcionando una visibilidad completa de todos los servicios IaaS, PaaS y SaaS en la nube que usan los empleados. Skyhigh luego entrega una evaluación de riesgos para todos los servicios en la nube que usan los empleados, en base a 30 atributos a través de categorías de datos, usuarios, dispositivos, servicios y de negocios. Esto ayuda a las organizaciones a aislar posibles fugas de datos, las brechas de seguridad, y el incumplimiento de las políticas regulatorias e internas sobre el uso de servicios en la nube.
La herramienta de evaluación de riesgos alimenta al Skyhigh Secure, el cual ofrece seguridad y control del ciclo de vida de la nube. Skyhigh Secure ofrece control de acceso contextual, auditoría de aplicación, encriptación, prevención de pérdida de datos (DLP) y control de nube-a-nube. Los clientes incluyen a Cisco, Diebold, Equinix y Torrance Memorial Medical Center.
Panorama competitivo: Skyhigh compite con Netskope, pero esperamos ver varias nuevas empresas que surjan de modo sigiloso en el 2014.
10. SnoopWall
Lo que hacen: Proporcionan software antispyware / antimalware de contravigilancia que detecta y bloquea controles remotos, espionaje y escuchas ilegales en computadoras, tabletas, teléfonos inteligentes y otros dispositivos móviles.
Por qué están en esta lista: Las intrusiones cibernéticas son cada vez más preocupantes. No solo tiene que preocuparse por los piratas en el extranjero; sino que ahora, el estar preocupado por que la NSA lo esté espiando, no lo cataloga como loco. Por otra parte, el malware del día cero, que es detectado por la mayoría de soluciones de ciberseguridad actuales, a menudo se infiltra en los dispositivos cuando los usuarios instalan aplicaciones que creen que son dignas de confianza.
SnoopWall advierte y previene las amenazas cibernéticas, actuando como una "autoridad portuaria guardiana" para impedir el acceso a los puertos de datos de alto riesgo, incluyendo webcams, micrófonos, GPS, USB y otros puntos de entrada que son susceptibles a las infecciones por código malicioso.
Panorama competitivo: SnoopWall tiene una posición única por ahora. Sin embargo, después de que la compañía armara un gran revuelo en DEMO Fall 2013, esperamos ver que otros proveedores de antimalware añadan características similares a sus suites.
Jeff Vance, CIO (EE.UU.)