Fuente: CSO

Ya hemos hablado antes dell software como servicio (SaaS) y sus beneficios, la adopción de SaaS está superando con creces el consumo de IaaS (Infraestructura como servicio). A pesar de eso, las organizaciones se están enfocando casi exclusivamente en la seguridad de la infraestructura. También deben considerar un plan de gobierno de SaaS que implemente medidas de seguridad para reducir el riesgo asociado con su uso de SaaS. Ese plan incluye una combinación de marcos de cumplimiento, documentación / diligencia debida y medidas técnicas para el monitoreo continuo y la reducción de riesgos.

Gran parte del debate sobre la seguridad en torno a la adopción de la nube se centra en proveedores de infraestructura como servicio (IaaS). Las organizaciones han experimentado un tremendo crecimiento en la adopción de IaaS y han visto innumerables casos de vulneraciones de seguridad asociados con configuraciones incorrectas de IaaS.

Sin embargo, se han descuidado los riesgos que presentan los SaaS mal implementados y asegurados. Se prevee que SaaS seguirá siendo el segmento de mercado de nube pública más grande , y esa predicción se produjo antes de COVID-19, que facilitó un auge de SaaS sin precedentes. Además, las organizaciones suelen utilizar solo unos pocos proveedores de IaaS, como los tres grandes proveedores de servicios en la nube (CSP), mientras consumen muchas más ofertas de SaaS.

Si bien es posible que su organización haya comenzado a madurar su seguridad IaaS, lo mismo probablemente no sea cierto para el panorama SaaS más amplio y diverso. Esta realidad también hace que el uso de TI en la sombra de los proveedores de SaaS sea mucho más frecuente que los proveedores de IaaS, debido a la gran variedad de ofertas de SaaS en el mercado y la facilidad con la que puede consumirlas, a menudo con tan solo una tarjeta de crédito.

Las organizaciones están agregando, en promedio, diez ofertas de SaaS a la empresa por mes y TI solo administra directamente el 25% de ellas. Eso es un gran riesgo de SaaS no administrado. A pesar de este crecimiento exponencial en el uso de SaaS, un estudio de AppOmni encontró que solo el 32% de los encuestados emplea algún tipo de herramienta para garantizar la seguridad de los datos en SaaS.

A pesar de esta adopción generalizada de SaaS, ¿por qué las organizaciones continúan centrándose casi exclusivamente en los problemas de seguridad de IaaS? Algo de eso se debe a una mala comprensión del modelo de responsabilidad compartida y a asumir en un entorno SaaS que el CSP es responsable de todo. El otro factor es que los equipos de seguridad simplemente están luchando por mantenerse al día con el uso de la nube de sus organizaciones y con las consecuencias de las violaciones generalizadas de datos de IaaS de alto perfil.

rutas claras de certificación y aprendizaje, lo que garantiza que los profesionales puedan aprender a proteger sus plataformas y dar fe de ello. SaaS no ofrece el mismo escenario. Como profesionales de la seguridad, debemos continuar evolucionando, y la seguridad SaaS está lista para madurar hasta el punto en que pueda comenzar a mitigar esta enorme cantidad de riesgo no abordado.

Un enfoque al riesgo de SaaS

La implementación de la seguridad para el uso de SaaS debe basarse en los datos. Esto significa observar los datos internos a los que tiene acceso la oferta de SaaS, el nivel de acceso dentro de su empresa y las posibles ramificaciones normativas y de seguridad si esos datos se exponen inadvertidamente o se comprometen maliciosamente. Esto es especialmente cierto con la fuerza laboral geográficamente dispersa de hoy en día, donde las personas acceden a los datos desde cualquier lugar, a menudo desde sus propios dispositivos.

El primer paso del proceso es capturar qué SaaS está utilizando su organización. Dependiendo de la madurez y la arquitectura técnica de la organización, esto podría ser un proceso de administración de inventario manual o requerir herramientas técnicas como agentes de seguridad de acceso a la nube (CASB) , que pueden ayudar a identificar el uso de SaaS en la sombra.

Cuando las organizaciones comienzan a poner rigor de seguridad en el uso de SaaS, tienden a adoptar dos enfoques. Uno se centra en los marcos de seguridad como SOC2, PCI y FedRAMP, así como en la revisión de la documentación. El otro se centra en la evaluación técnica, el refuerzo y el seguimiento continuo. El enfoque ideal implica un poco de ambos, como se explica a continuación.

Cobertura / capacidades técnicas de SaaS

Si bien los marcos son un gran comienzo en términos de examinar las ofertas de SaaS, es solo el comienzo. También debe considerar los controles técnicos, las configuraciones y el monitoreo como parte de su estrategia de gobierno de SaaS. Cada oferta de SaaS viene con una miríada de características, configuraciones y configuraciones únicas, la mayoría de las cuales su personal no estará familiarizado desde una perspectiva de seguridad.

Se han elaborado configuraciones seguras, análisis de seguridad, mejores prácticas y recomendaciones para ayudar a las organizaciones a fortalecer su uso de SaaS. Muchas de estas ofertas aprovechan los recursos de la industria cuando es posible.

Estos esfuerzos de endurecimiento pueden ayudar a proteger a su organización de problemas de seguridad predominantes, como el compromiso de la cuenta, la configuración insegura, el cumplimiento y la administración de acceso. También pueden ayudar con la respuesta a incidentes. Esto es increíblemente valioso, ya que es probable que su fuerza de trabajo no tenga la información y la experiencia de seguridad específicas necesarias para cada una de sus aplicaciones SaaS. Los proveedores de SSPM agregan constantemente más ofertas de SaaS a su cobertura y, según el tamaño de su organización, es posible que pueda ayudar a dar forma a su hoja de ruta de productos para cubrir SaaS que se usa ampliamente en su organización.

Además de las preocupaciones de seguridad técnica, las organizaciones también deben preocuparse por el cumplimiento del paradigma SaaS. ¿Recuerdas ese modelo de responsabilidad compartida? Todavía se aplica aquí.

Existen plataformas que pueden ayudar a hacer cumplir automáticamente los controles de cumplimiento críticos relacionados con marcos de amplia aplicación, como PCI, HIPAA, GDPR y NIST. Es insostenible para una organización mantener el cumplimiento continuo de estos marcos en cientos de aplicaciones SaaS potencialmente, y aquí es donde las soluciones técnicas para aumentar esos esfuerzos realmente pueden brillar.