Él Informe de la encuesta de seguridad de SaaS de 2022, en colaboración con CSA, examina el estado de la seguridad de SaaS desde el punto de vista de los CISO y los profesionales de la seguridad en las empresas actuales. El informe recopila respuestas anónimas de 340 miembros de CSA para examinar no solo los crecientes riesgos en la seguridad de SaaS, sino también cómo las diferentes organizaciones están trabajando actualmente para protegerse.
Demografía
La mayoría (71 %) de los encuestados se encontraban en América, otro 17 % en Asia y un 13 % en EMEA. De estos participantes, el 49% influye en el proceso de toma de decisiones, mientras que el 39% dirige el proceso mismo. La encuesta examinó organizaciones de una variedad de industrias, como telecomunicaciones (25 %), finanzas (22 %) y gobierno (9 %).
Si bien hay muchas conclusiones de la encuesta, estas son nuestras siete principales.
1: Las configuraciones incorrectas de SaaS están provocando incidentes de seguridad
Desde 2019, las configuraciones incorrectas de SaaS se han convertido en una de las principales preocupaciones de las organizaciones, con al menos el 43 % de las organizaciones informando que han enfrentado uno o más incidentes de seguridad causados por una configuración incorrecta de SaaS. Sin embargo, dado que muchas otras organizaciones afirman que no saben si han experimentado un incidente de seguridad, la cantidad de incidentes relacionados con la configuración incorrecta de SaaS podría ser tan alto como 63%. Estos números son sorprendentes cuando se comparan con el 17 % de los incidentes de seguridad causados por una mala configuración de IaaS.
 |
| Figura 1. Las empresas experimentaron un incidente de seguridad debido a una mala configuración de SaaS |
Aprenda a prevenir errores de configuración en su pila de SaaS
2: Falta de visibilidad y demasiados departamentos con acceso informados como la causa principal de las configuraciones incorrectas de SaaS
Entonces, ¿cuál es exactamente la causa de estas configuraciones incorrectas de SaaS? Si bien hay varios factores a considerar, los encuestados los redujeron a las dos causas principales: tener demasiados departamentos con acceso a la configuración de seguridad de SaaS (35 %) y falta de visibilidad de los cambios en la configuración de seguridad de SaaS (34 %). %). Estos son dos problemas relacionados, ninguno de los cuales es sorprendente dado que la falta de visibilidad se calificó como una de las principales preocupaciones al adoptar aplicaciones SaaS y que, en promedio, las organizaciones tienen varios departamentos con acceso a la configuración de seguridad. Una de las principales razones de la falta de visibilidad es el hecho de que demasiados departamentos tienen acceso a la configuración de seguridad y muchos de estos departamentos no tienen la capacitación adecuada ni se enfocan en la seguridad.
 |
| Figura 2. Las principales causas de las configuraciones incorrectas de SaaS |
3: La inversión en aplicaciones SaaS críticas para el negocio está superando las herramientas y el personal de seguridad de SaaS
Es bien sabido que las empresas están adoptando más aplicaciones: solo el año pasado, el 81 % de los encuestados dice que ha aumentado sus inversiones en aplicaciones SaaS críticas para la empresa. Por otro lado, la inversión en herramientas de seguridad (73%) y personal (55%) para seguridad SaaS es menor. Esta disonancia representa una carga cada vez mayor para los equipos de seguridad existentes para monitorear la seguridad de SaaS.
 |
| Figura 3. Inversión de las empresas en aplicaciones SaaS, herramientas de seguridad y personal |
4: La detección manual y la corrección de configuraciones erróneas de SaaS mantienen a las organizaciones expuestas
El 46 % de las organizaciones que supervisan manualmente su seguridad SaaS realizan comprobaciones solo una vez al mes o menos, mientras que el 5 % no realiza comprobaciones en absoluto. Después de descubrir una configuración incorrecta, los equipos de seguridad necesitan más tiempo para resolverla. Aproximadamente 1 de cada 4 organizaciones tardan una semana o más en resolver un problema de configuración cuando lo reparan manualmente. Este tiempo prolongado deja a las organizaciones vulnerables.
 |
| Figura 4. Con qué frecuencia las empresas verifican manualmente sus configuraciones incorrectas de SaaS |
 |
| Figura 5. Cuánto tardan las empresas en corregir manualmente la mala configuración de SaaS |
5: El uso de un SSPM reduce la línea de tiempo para detectar y remediar configuraciones incorrectas de SaaS
La otra cara de la moneda del hallazgo n.º 4 es que las organizaciones que han implementado un SSPM pueden detectar y remediar con mayor rapidez y precisión sus configuraciones erróneas de SaaS. La mayoría de estas organizaciones (78 %) utilizan un SSPM para comprobar sus configuraciones de seguridad SaaS una vez a la semana o más. Cuando se trata de resolver la configuración incorrecta, el 81 % de las organizaciones que utilizan un SSPM pueden resolverlo en un día o una semana.
 |
| Figura 6. Frecuencia de las comprobaciones de configuración de seguridad de SaaS |
 |
| Figura 7. Período de tiempo para corregir errores de configuración de SaaS |
6: el acceso a aplicaciones de terceros es una de las principales preocupaciones
Las aplicaciones de terceros, también llamadas plataformas sin código o de bajo código, pueden aumentar la productividad, permitir el trabajo híbrido y, en general, son esenciales para construir y escalar los procesos de trabajo de una empresa. Sin embargo, muchos usuarios conectan rápidamente aplicaciones de terceros sin considerar qué permiso solicitan estas aplicaciones. Una vez aceptados, los permisos y el acceso posterior otorgado a estas aplicaciones de terceros podrían ser inofensivos o tan maliciosos como un archivo ejecutable. Sin visibilidad de la cadena de suministro de SaaS a SaaS, los empleados se conectan a las aplicaciones críticas para el negocio de su organización, los equipos de seguridad no ven muchas amenazas potenciales. A medida que las organizaciones continúan adoptando aplicaciones SaaS, una de sus principales preocupaciones es la falta de visibilidad, especialmente la del acceso de aplicaciones de terceros a la pila principal de SaaS (56 %).
 |
| Figura 8. Principal preocupación de las empresas al adoptar aplicaciones SaaS |
Planificación anticipada e implementación de SSPM
A pesar de que la categoría se introdujo en el mercado hace dos años, está madurando rápidamente. Al evaluar cuatro soluciones de seguridad en la nube, SSPM recibe una calificación promedio de «algo familiar». Además, el 62% de los encuestados informa que ya está utilizando un SSPM o planea implementar uno en los próximos 24 meses.
 |
| Figura 9. Empresas que actualmente usan o planean usar SSPM |
Conclusión
El Informe de la encuesta de seguridad de SaaS de 2022 ofrece información sobre cómo las organizaciones utilizan y protegen sus aplicaciones de SaaS. Sin duda, a medida que las empresas continúan adoptando más aplicaciones SaaS críticas para el negocio, existe un mayor riesgo. Para enfrentar este desafío, las empresas deben comenzar a protegerse a través de dos mejores prácticas:
- El primero es permitir que los equipos de seguridad obtengan una visibilidad completa de todas las configuraciones de seguridad de la aplicación SaaS, incluido el acceso a la aplicación de terceros y los permisos de usuario, lo que a su vez permite a los departamentos mantener su acceso sin riesgo de realizar cambios inadecuados que dejan a la organización vulnerable.
- En segundo lugar, las empresas deben utilizar herramientas automatizadas, como SSPM, para monitorear continuamente y remediar rápidamente las configuraciones incorrectas de seguridad de SaaS. Estas herramientas automatizadas permiten que los equipos de seguridad reconozcan y solucionen problemas casi en tiempo real, lo que reduce el tiempo total en que la organización permanece vulnerable o evita que el problema ocurra por completo.
Ambos cambios brindan apoyo a su equipo de seguridad sin impedir que los departamentos continúen con su trabajo.