Caesars Entertainment incorpora los datos de las empresas que fusiona y adquiere de forma rápida y segura

Con una sala de bingo diminuta en Reno (Nevada), lo que terminaría por llamarse Caesars Entertainment echó raíces en 1937. Desde sus inicios, y con el paso de los años, los cuatro fundadores de la empresa han sido conocidos tanto por introducir innovaciones importantes en el sector de los casinos como por sentar las bases de la excelencia en la industria del juego y el entretenimiento. Otro de sus grandes logros es haber convertido a Caesars en una marca de renombre mundial.

Hacemos un salto en el tiempo hasta llegar a julio de 2020, cuando Eldorado Resorts adquirió Caesars Entertainment. Las dos célebres marcas se fusionaron bajo el nombre Caesars Entertainment y se convirtieron en la organización de juego más grande del mundo, con 55 propiedades distribuidas por todo el planeta.

A priori, el hecho de que Eldorado y Caesars se fusionaran en plena pandemia de COVID-19 debería haber supuesto más presión para Bobby Wilkins, vicepresidente de Ciberseguridad de Caesars Entertainment, pero a él no le tembló el pulso. Se encargó de establecer conexiones remotas seguras a la red de Caesars para que sus decenas de miles de empleados pudieran trabajar desde casa y, al mismo tiempo, diseñar y preparar la integración segura de terabytes de datos empresariales en el momento de la fusión. Por si fuera poco, también se ocupó de gestionar a estos usuarios remotos desde entonces, incluso durante las fechas críticas de la fusión.

Wilkins comandaba un equipo de seguridad más bien escaso, con un personal relativamente reducido si se compara con el de sus competidores. Cuando se produjo la fusión, hubo que usar el ingenio para colocar a las personas adecuadas en los puestos adecuados en el momento oportuno. Contar con las herramientas apropiadas fue fundamental para ayudarles a su equipo y a él a estar donde tenían que estar: por delante de los ataques y con capacidad de cubrir nuevas demandas.

Wilkins, que se ha visto implicado en unas 20 adquisiciones en los 29 años que lleva en Caesars, afirma que el mayor riesgo de seguridad a la hora de fusionarse con una nueva organización es que hay demasiadas cosas que se ignoran. «No sabes cómo han protegido su red. No sabes qué vulnerabilidades podrías estar heredando. No sabes qué se puede esconder ahí —explica—. Antes de abrirse, hay que protegerse».

El segundo reto más urgente consiste en comprender las necesidades de los usuarios de la nueva entidad y proporcionarles el acceso que necesitan —el suficiente, nada más— a la red, los datos y sistemas de la empresa para que puedan hacer su trabajo una vez consumada la fusión.

Según Wilkins, no es tan sencillo, porque muchos usuarios ni siquiera saben qué datos necesitan —ni en qué sistemas están— para hacer su trabajo.

«En el proceso de incorporación siempre hay sorpresas —comenta Wilkins—. El día de la verdad, todo el mundo quiere que todo funcione a la primera. Pero siempre hay algo que no sale perfecto». Por eso, el día de la verdad, Wilkins siempre convoca a un «equipo especial de respuesta rápida» para subsanar cualquier conexión que no se haya establecido correctamente en cuanto se identifica.

Por si la presión por que la integración se hiciera a tiempo no fuera suficiente, todo esto ocurría durante la pandemia. «Asegurarnos, en la era de la COVID-19 —con todos los cierres y lo que supuso en cuanto a teletrabajo—, de que teníamos los recursos necesarios para operar lo que ya estaba en funcionamiento y, además, enviar distintos equipos para garantizar que las conexiones tras la fusión se estaban estableciendo sin problemas, fue [otro] gran reto», reconoce Wilkins.

Uno de los motivos por los que Caesars consideró que la sencillez de las plataformas era prioritaria para su estrategia de seguridad fue saber que iban a continuar creciendo y que tenían que proteger sus inversiones en fusiones y adquisiciones. Conforme el personal iba aumentado, había que garantizar la protección de cada vez más trabajadores.

Solución de seguridad basada en plataforma: esta era la principal prioridad de Wilkins. Antes de implementar su solución de seguridad actual de Palo Alto Networks, Caesars tenía instalados 17 sistemas de ciberseguridad distintos. Solo aprender a usarlos consumía una cantidad de tiempo enorme. Wilkins «echó cuentas» y llegó a la conclusión de que, si enviaba a cada empleado del departamento a una clase al año sobre cada uno de esos 17 productos, perdería aproximadamente el 40 % de la productividad del personal. Por eso, estaba decidido a encontrar una plataforma de seguridad en la que todos los componentes tuvieran una interfaz de usuario coherente.

Experiencia del usuario segura y coherente para los teletrabajadores: también estaba el problema de mandar a los empleados a trabajar desde casa por culpa de la COVID-19, y de que muchos de ellos se conectaban a la red desde lugares muy remotos. Había que proteger la red ampliada sin interferir con la productividad. Wilkins quería que todos los empleados, independientemente del lugar en el que trabajaran, tuvieran la misma experiencia que si se conectaran directamente a la red desde una ubicación de la empresa.

Protección escalable: dado que algunas fusiones pueden ser de gran envergadura —como es el caso de la adquisición realizada por Eldorado—, Caesars necesitaba una solución de seguridad que pudiera adaptarse para satisfacer las demandas de tráfico de los distintos ejercicios de incorporación de los datos tras la fusión.

Debido a los posibles riesgos, Caesars no ha escatimado esfuerzos para investigar la seguridad de los procesos de fusión y adquisición. «No queremos precipitarnos a la hora de conectar los sistemas para no ponerlos en riesgo», señala Wilkins.

El rigor con que afronta Caesars las adquisiciones y fusiones es multidimensional. Para empezar, Caesars nunca abre su red por completo a una empresa nueva. Lo que hace es implementar Prisma Access, una plataforma de seguridad en la nube que forma parte de la solución de servidor perimetral de acceso seguro (SASE, por sus siglas en inglés) de Palo Alto Networks. Prisma Access permite a Caesars levantar un muro entre las organizaciones y garantizar que las políticas de seguridad reflejen exactamente a qué sistemas y datos necesitan acceder los usuarios de la entidad fusionada. Prisma Access consolida los cortafuegos como servicio, las puertas de enlace web seguras, el acceso Zero Trust (confianza cero) a la red y los agentes de seguridad de acceso a la nube (FWaaS, SWG, ZTNA y CASB, respectivamente, por sus siglas en inglés), entre otros productos, en una única plataforma. «Es justo lo que necesitamos», afirma Wilkins.

Hace poco, el equipo de ciberseguridad de Caesars tomó la decisión adoptar una red Zero Trust. Como resultado, Caesars ha actualizado su arquitectura de ciberseguridad de referencia para reflejar la transición al modelo Zero Trust y, como parte de este proceso, está pasando a implementar una estrategia basada en cortafuegos siempre activos.

«Antes de la llegada del Zero Trust, habríamos conectado la nueva empresa a la red tan pronto como hubiéramos pensado que ya habíamos hecho suficiente —reconoce Wilkins—. Pero hoy, mantenemos intacta la segmentación de los cortafuegos porque no hay ninguna razón por la que la Propiedad A tenga que hablar directamente con la Propiedad B». Cuando los usuarios de la Propiedad B necesitan acceder a los activos corporativos de la Propiedad A, Prisma Access permite a Caesars codificar las políticas adecuadas para garantizar que obtienen lo que necesitan.

Tras establecer las políticas de seguridad y acceso oportunas con Prisma Access, Caesars realiza lo que ellos llaman una «doble evaluación del riesgo». Contratan a una empresa de ciberseguridad externa independiente para someter a ambas organizaciones —Caesars y la nueva empresa— a una evaluación completa de vulnerabilidades y riesgos. «De este modo, ambas partes se sienten lo suficientemente cómodas como para conectar sus redes», asegura Wilkins.

Caesars lleva mucho tiempo realizando fusiones. Por eso, cuenta con sistemas desarrollados de manera interna para establecer una conectividad rápida al incorporar una entidad adquirida (o, en el caso de Eldorado, fusionada). Estos sistemas están diseñados para ser seguros. Prisma Access lleva esa seguridad a un nuevo nivel a unas velocidades nunca vistas. Antes, Caesars podía llegar a tardar 90 días en integrar de forma segura la red de una empresa adquirida. Ahora, con Prisma Access, tarda de uno a tres días como máximo.

Antes de implementar Prisma Access, Caesars utilizaba redes privadas virtuales (VPN, por sus siglas en inglés) de sitio a sitio tradicionales, lo que exigía crear túneles entre las distintas entidades. «Sin embargo, con el sitio de Prisma Access, tenemos nuestro endpoint definido en el centro de datos y lo único que tenemos que hacer es añadirle el sitio del nuevo socio —apunta Wilkins—. Como ya estamos conectados a la nube, no puede ser más fácil».

Prisma Access permite a Caesars asignar las mismas políticas de salida a internet a sus usuarios, estén conectados o no a la red corporativa. Independientemente del activo de la empresa al que accedan, la experiencia sigue siendo la misma. «Y, si tienen algún problema, no importa dónde estén: lo solucionaremos», afirma Wilkins. Prisma Access también les impide acceder a sitios peligrosos, «mientras que una VPN tradicional no los protegería de algo así», según sus propias palabras.

Antiguamente, la única forma de proteger una red empresarial ampliada era llevar el tráfico al cortafuegos perimetral. El modelo basado en la nube de Prisma Access lleva el servicio a donde es necesario: el perímetro. Esto permite a los equipos de ciberseguridad desplegar una arquitectura de seguridad coherente en todos los rincones de su red sin complicaciones y frenar las amenazas, ya sean conocidas o desconocidas.

Según Wilkins, Prisma Access ofrece a Caesars una mayor visibilidad de la red y el tráfico que la atraviesa sin necesidad de contratar a más profesionales de la ciberseguridad. Y añade: «Para nosotros, eso es fundamental porque no pensamos contratar a más gente, así que necesitamos aprovechar lo mejor posible los recursos que tenemos». Con la visibilidad mejorada que ofrece Prisma Access, su equipo puede aumentar el control según sus necesidades y compartir los sistemas y los datos adecuados con mucha más facilidad.

El catálogo de Palo Alto Networks ha permitido a Caesars estandarizar las herramientas de incorporación de seguridad con una interfaz de usuario común. «Así, nuestros procesos son mucho más sencillos, coherentes y menos propensos a errores», aclara Wilkins. Antes, cada adquisición o fusión requería su propio enfoque para proteger de manera adecuada las redes y los sistemas durante la incorporación. Hoy, con Palo Alto Networks, el proceso está más estandarizado y es más fácil de repetir, lo que acelera enormemente la capacidad de Caesars de integrar redes y sistemas sin mayores problemas.

Con Prisma Access, Caesars ha podido estandarizar las operaciones de seguridad, lo que ha permitido al software atajar problemas de seguridad «rutinarios». Esos problemas rutinarios pueden llegar a suponer hasta un 90 % de la carga de trabajo de incorporación.

Esto concede al personal de Wilkins el lujo de dedicar su tiempo al otro 10 % de problemas de ciberseguridad que requieren una atención especial, como rediseñar la estrategia o los procesos de seguridad de una empresa fusionada.

Conclusión: «Esto nos permite desarrollar mejores aplicaciones para nuestros clientes; aplicaciones que puedan interactuar y evolucionar de forma segura siempre que sea necesario sin crear mucha fricción —concluye Wilkins—. Y ahora somos una empresa más competitiva».


Para obtener más información, visite la página web de Prisma Access de Palo Alto Networks.