Por qué SaaS abre la puerta a tantas amenazas cibernéticas

Iniciado por Dragora, Abril 19, 2020, 06:25:06 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.



Los servicios en la nube se han vuelto cada vez más importantes para las operaciones diarias de muchas compañías, y la rápida adopción de aplicaciones web ha permitido que las empresas continúen operando con problemas de productividad limitados, incluso cuando las restricciones globales de coronavirus han obligado a gran parte del mundo a trabajar desde casa.

Pero al mismo tiempo, incluso las grandes corporaciones han sido víctimas de hackers. ¿Cómo puede mantener la integridad de sus recursos y datos de TI sin dejar de aprovechar los beneficios del software como servicio (SaaS)?

Si bien la ciberseguridad es un tema amplio y complicado, consideremos un escenario hipotético de SaaS y examinemos algunos de los riesgos.

Imagine que uno de sus empleados está escribiendo un informe confidencial. Podría contener datos financieros o médicos. Podría tener información sobre un nuevo diseño revolucionario. Sea lo que sea, el informe debe mantenerse confidencial.



¿Qué pasaría si su empleado escribe el informe en Google Docs? Supongamos que esta decisión no se ejecutó más allá del departamento de TI. El empleado lo hizo por costumbre porque Google Docs es lo que él o ella había estado usando durante años para compartir documentos fácilmente con sus compañeros de trabajo.

¿Cuáles son algunos de los riesgos que enfrenta su empresa?

El problema de las aplicaciones no autorizadas

Un problema clave que puede enfrentar es simplemente no darse cuenta de que el informe está en Google Docs. Cuando su departamento de TI no conoce las aplicaciones SaaS que usa su equipo, no puede evaluar si son seguras.

Por lo tanto, estas aplicaciones se consideran TI de sombra , tecnología utilizada sin el permiso o conocimiento del departamento de TI. El problema, por supuesto, no se trata de Google.

El mismo problema podría ocurrir con un documento de Word sincronizado a través de Dropbox o con cualquier otra cantidad de aplicaciones SaaS legítimas que almacenen datos en la nube. El problema es la falta de visibilidad.

Shadow IT puede ser un problema grave, pero a menudo existe porque los empleados carecen de las herramientas adecuadas. Como señaló Harvard Business Review , cerrar TI en la sombra "a veces puede ser una respuesta apropiada, pero también hemos visto que TI adopta un enfoque de mente abierta y trabaja con éxito con la unidad no autorizada para ayudar a proteger los datos, estandarizar las API y, finalmente, ensamblar soluciones que combinan servicios internos y externos. En general, nos inclinamos hacia este último enfoque ".

A veces, el enfoque correcto es asegurar las aplicaciones y asegurarse de que se usen de manera responsable.

Cómo mejorar su seguridad SaaS

¿Qué puede hacer para mejorar los procesos de sanción, el cumplimiento y la seguridad de sus aplicaciones SaaS? Además de hacer su debida diligencia en la búsqueda de proveedores de servicios, aquí hay algunas sugerencias.

Las contraseñas son frutas bajas. Asegúrese de que todos en su empresa tengan y usen un administrador de contraseñas adecuado como LastPass o 1Password . Es posible que desee considerar la necesidad de claves de seguridad de hardware como las de Yubico . Google ha tenido un gran éxito en la prevención de ataques de phishing simplemente al exigir a los empleados que usen claves de seguridad físicas para la autenticación de dos factores.

También puede beneficiarse del uso de una herramienta de administración de SaaS, especialmente si utiliza una gran cantidad de servicios de software o tiene un problema con la TI secundaria.

Torii , una plataforma de gestión de SaaS, puede ayudarlo a descubrir y evaluar todas las aplicaciones basadas en la nube utilizadas en su organización.



A medida que agrega más servicios, realizar un seguimiento de lo que usan sus empleados, a dónde va su dinero y detalles como cuándo los contratos están por renovarse puede ayudarlo a mantener la seguridad de esos servicios y asegurarse de que no esté gastando demasiado o duplicando capacidades .

Torii puede ayudarlo a ahorrar dinero al eliminar el desperdicio, pero quizás lo más importante es que puede brindarle una visibilidad integral y dinámica de cómo su organización utiliza las aplicaciones SaaS. También puede usarlo para configurar acciones activadas para la "gestión SaaS autónoma", como enviar un cuestionario a los miembros del equipo que han adoptado nuevas aplicaciones.

Dos lados de la seguridad SaaS

Por supuesto, debe evaluar las aplicaciones SaaS, incluso las aprobadas oficialmente, tanto desde una perspectiva interna como desde una vista externa. Debe observar no solo sus propias prácticas de seguridad, sino también las prácticas de seguridad del servicio que está utilizando.

Los datos extremadamente confidenciales probablemente no deberían abandonar su red, pero toda la información de identificación personal (PII) debe manejarse adecuadamente, o correrá el riesgo de problemas de cumplimiento normativo.

En el lado interno, los departamentos de TI habitualmente enfrentan problemas con contraseñas malas. Incluso después de años de informes de noticias sobre violaciones graves de datos, "123456" seguía siendo una de las contraseñas más utilizadas en 2019.

Y, según Yubico, un fabricante de claves de autenticación de hardware, más de dos tercios de los empleados comparten contraseñas y acceso a aplicaciones con colegas, mientras que más de la mitad también usan las mismas contraseñas para cuentas personales y comerciales.



Otro problema potencial es simplemente la cantidad de información que los usuarios tienden a compartir con las aplicaciones SaaS. Muchas personas comparten calendarios y libretas de direcciones fácilmente, y aunque hacerlo puede ser conveniente, también le da a esa aplicación datos adicionales, datos que pueden no ser necesarios para sus propósitos y datos que pueden ser confidenciales. Al igual que con todos los datos, cuando se trata de aplicaciones SaaS, debe preguntar a dónde va esa información, cómo se almacenará y qué hará el proveedor de servicios con ella.

En el aspecto externo, incluso cuando un servicio SaaS tiene políticas aparentemente buenas que rigen el uso de sus datos, las vulnerabilidades del código aún pueden comprometer el software. La brecha de Equifax 2017, por ejemplo, fue perpetrado por piratas informáticos que explotaron un error en Apache Struts, un marco de aplicación web de código abierto. Si bien estaba disponible un parche para el error, Equifax no lo había instalado. Sin una actualización oportuna, Equifax se dejó vulnerable a un problema conocido. Como resultado, se perdió información confidencial sobre unos 150 millones de estadounidenses.

Hacerse cargo de su seguridad

La seguridad es un objetivo en movimiento, y mitigar el riesgo es una tarea interminable. Si bien nunca puede eliminar el riesgo por completo, al menos puede reducirlo. Con pasos básicos de seguridad y una evaluación cuidadosa del uso de SaaS de su empresa, puede reducir su superficie de ataque y proteger mejor sus datos.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta