Posición de seguridad de SaaS: ¡tú no, soy yo!
En los negocios, no es raro adoptar un primer enfoque de software como servicio (SaaS). Tiene sentido: no es necesario ocuparse de la infraestructura, la administración, la aplicación de parches y el refuerzo. Simplemente enciende la aplicación SaaS y deja que haga su trabajo.
Pero ese enfoque tiene algunas desventajas.
El problema con SaaS
Si bien SaaS tiene muchos beneficios, también presenta una serie de nuevos desafíos, muchos de los cuales no obtienen la cobertura que merecen. En lo más alto de la lista de desafíos está la seguridad. Entonces, si bien SaaS ofrece algunos beneficios muy reales, también es importante reconocer el riesgo de seguridad que conlleva. Cuando hablamos de seguridad SaaS, normalmente no nos referimos a la seguridad de la plataforma subyacente, sino a cómo la usamos.
Recuerda, ¡no eres tú, soy yo!
El modelo de responsabilidad compartida
En los términos y condiciones de la mayoría de las plataformas SaaS se encuentra el «modelo de responsabilidad compartida». Lo que normalmente dice es que el proveedor de SaaS es responsable de proporcionar una plataforma sólida, resistente y confiable, pero no asume la responsabilidad de cómo la usa y configura. Y es en estos cambios de configuración donde reside el desafío de seguridad.
Las plataformas SaaS a menudo vienen con múltiples opciones de configuración, como formas de compartir datos, formas de invitar a usuarios externos, cómo los usuarios pueden acceder a la plataforma, qué partes de la plataforma pueden usar, etc. Y cada cambio de configuración, cada perilla nerd que se gira, es el potencial para eliminar la plataforma de su configuración de seguridad óptima o introducir una capacidad inesperada. Si bien algunas aplicaciones, como Microsoft 365, ofrecen orientación sobre la configuración de seguridad, esto no es cierto para todas. Incluso si lo hicieran, ¿qué tan fácil es administrar cuando tienes 10, 20 o incluso 100 aplicaciones SaaS?
Demasiadas aplicaciones
¿Sabes cuántas aplicaciones SaaS tienes? El problema no son las aplicaciones SaaS que conoces, sino las que no tienes. Debido a que SaaS es tan accesible, puede evadir fácilmente la administración. Hay aplicaciones que la gente usa pero que una organización tal vez no conoce, como la aplicación en la que se registró el equipo de ventas, esa cosa que usa marketing y, por supuesto, todos quieren una aplicación GenAI para jugar. Pero estos no son los únicos; También están las aplicaciones que forman parte de las plataformas SaaS en las que te registras. Sí, incluso aquellas que conoces pueden contener aplicaciones adicionales que no conoces. Así es como una empresa promedio llega a tener más de 100 aplicaciones SaaS. ¿Cómo manejas cada uno de estos? ¿Cómo puede asegurarse de saber que existen y que están configurados de manera que cumplan con las buenas prácticas de seguridad y protejan su información? Ahí radica el desafío.
La introducción de la SSPM
SSPM puede ser la respuesta. Está diseñado para integrarse inicialmente con sus aplicaciones SaaS administradas para brindar visibilidad sobre cómo están configuradas, dónde las configuraciones presentan riesgos y cómo abordarlos. Los monitoreará constantemente en busca de nuevas amenazas y cambios de configuración que introduzcan riesgos. También detectará aplicaciones SaaS no administradas en uso, evaluará su situación y presentará perfiles de riesgo tanto de la aplicación como del propio proveedor de SaaS. Centraliza la gestión y seguridad de una infraestructura SaaS y donde su gestión y configuración presentan un riesgo.
Superposición con CAB y DLP
Existe cierta superposición en el mercado, particularmente con el agente de seguridad de acceso a la nube (CASB) y las herramientas de prevención de pérdida de datos (DLP). Pero estas herramientas son un poco como atrapar a los ladrones en el camino de entrada, en lugar de asegurarse de que las puertas y ventanas estén aseguradas en primer lugar.
SSPM es otra herramienta de seguridad para administrar y pagar. ¿Pero es una herramienta que necesitamos? Bueno, eso depende de ti; sin embargo, nuestro uso de SaaS, a pesar de todos los beneficios que aporta, ha traído consigo una nueva complejidad y un nuevo conjunto de riesgos. Tenemos muchas más aplicaciones que nunca, la mayoría de las cuales no administramos de forma centralizada, y tienen muchas perillas de configuración que girar. Sin supervisión de todos ellos, planteamos riesgos de seguridad.
Los próximos pasos
La gestión de la postura de seguridad (SSPM) de SaaS es otra entrada en el creciente catálogo de herramientas de gestión de la postura de seguridad. Suelen ser fáciles de probar y muchos ofrecen evaluaciones gratuitas que pueden darle una idea de la magnitud del desafío al que se enfrenta. La seguridad de SaaS es complicada y, a menudo, no recibe la cobertura que merece, por lo que tener una idea de cuál es su situación puede resultar útil.
Antes de encontrarse en el lado equivocado de un incidente de seguridad y su proveedor de SaaS le diga que es usted y no yo, podría valer la pena ver qué puede hacer una herramienta SSPM por usted. Para obtener más información, consulte los criterios clave de SSPM y los informes de radar de GigaOm. Estos informes brindan una descripción general completa del mercado, describen los criterios que debe considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión.
Si aún no eres suscriptor de GigaOm, regístrate aquí.