¿Crees que estás seguro? El 49% de las empresas subestiman los riesgos de SaaS

Puede resultar sorprendente saber que el 34% de los profesionales de la seguridad no saben cuántas aplicaciones SaaS están implementadas en sus organizaciones. Y no es de extrañar: el reciente AppOmni Informe sobre el estado de seguridad de SaaS 2024 revela que solo el 15% de las organizaciones centralizan la seguridad SaaS dentro de sus equipos de ciberseguridad. Estas estadísticas no sólo resaltan un punto ciego crítico en materia de seguridad, sino que también señalan el hecho de que la cultura organizacional a menudo se pasa por alto como un factor determinante detrás de estos riesgos. A medida que los entornos SaaS se vuelven más descentralizados, la falta de claridad en torno a las funciones y responsabilidades deja a las empresas expuestas.

La mayoría de los equipos de seguridad se centran únicamente en cuestiones técnicas, y a menudo pasan por alto cómo la cultura de su empresa (sus prácticas cotidianas, actitudes y procesos de aplicación de políticas predeterminadas) da forma a la postura de seguridad de su organización. El exceso de confianza, las responsabilidades poco claras y la falta de monitoreo continuo pueden provocar violaciones de seguridad de SaaS. Examinemos por qué es crucial construir una cultura que valore la responsabilidad compartida y la seguridad proactiva.

El papel de la cultura en la seguridad SaaS

La adquisición descentralizada de aplicaciones SaaS ha cambiado completamente las reglas del juego para muchas organizaciones. Las unidades de negocios ahora son libres de elegir y adoptar las herramientas que necesitan para mantenerse ágiles e impulsar los objetivos comerciales, pero

Esta libertad conlleva un enorme desafío: mantener las prácticas de seguridad consistentes y efectivas en todos los ámbitos.

Los riesgos de la autonomía sin supervisión

Las unidades de negocio a menudo se centran en la velocidad y la innovación, lo que significa que la seguridad suele pasar a un segundo plano. Por otro lado, los equipos de seguridad deben intentar mantenerse al día con un panorama vasto y en constante cambio de aplicaciones SaaS en las que no tenían voz y voto. La desconexión resultante puede crear una cultura en la que la seguridad no sea una prioridad o, peor aún, se vea como un obstáculo que ralentiza las iniciativas y operaciones comerciales.

Lo que a menudo sigue es un entorno donde las vulnerabilidades pueden prosperar. La autonomía aumenta la productividad, pero sin una supervisión coordinada de la seguridad también conlleva graves riesgos. La implementación rápida de nuevas herramientas sin revisiones exhaustivas puede debilitar los controles de seguridad y permitir que amenazas potenciales pasen desapercibidas.

Las consecuencias del mundo real

La encuesta de AppOmni realizada a 644 responsables y gestores de seguridad de todo el mundo indica que El 31% dice que sus organizaciones sufrieron una violación de datos.—cinco puntos más que el año anterior. Este aumento de las infracciones bien podría estar relacionado con la cultura de seguridad SaaS. El 2023 Incumplimiento del copo de nievepor ejemplo, se debió a que los clientes no implementaron la autenticación segura de dos factores para proteger sus entornos de producción. El violación masiva de la cadena de suministro en Sisenseun proveedor de plataformas de análisis de datos e inteligencia empresarial (BI), señala los peligros de no proteger adecuadamente los ecosistemas SaaS a los que acceden terceros.

En ambos casos, debido a la adopción descentralizada, hubo una falta de visibilidad y control sobre las integraciones de terceros que llevaron a importantes exposiciones de datos. Estos incidentes ponen de manifiesto la necesidad de una cultura que dé prioridad a la seguridad y se extienda a toda la organización, no solo a TI.

Crear una cultura consciente de la seguridad no se trata sólo de establecer políticas; se trata de cambiar la mentalidad. Las unidades de negocio deben comprender la importancia de la seguridad e involucrar a los equipos de seguridad desde el principio al elegir nuevas herramientas. Al mismo tiempo, los equipos de seguridad deben trabajar de manera proactiva con las unidades de negocios y ofrecer orientación que respalde la innovación en lugar de obstaculizarla. Cerrar esta brecha entre autonomía y seguridad es clave para construir un entorno seguro y productivo.

Exceso de confianza y desalineación en la seguridad SaaS

Muchas organizaciones piensan que son seguras, pero siguen ocurriendo infracciones por problemas evitables, como configuraciones incorrectas. Y el exceso de confianza es una cuestión cultural que puede causar serios problemas.

Percepción versus realidad

Si bien las empresas suelen calificar como alta la madurez de la ciberseguridad de SaaS, la realidad suele ser diferente. A menudo existe una desconexión entre lo que se supone que es seguro y lo que realmente lo es, generalmente porque se subestiman la complejidad y los riesgos de los entornos SaaS.

Las plataformas SaaS son altamente personalizables y se integran con muchas herramientas, pero, sin una gestión cuidadosa, pueden introducir vulnerabilidades importantes. El informe AppOmni muestra que cerca de la mitad de los encuestados dicen que tienen menos de 10 aplicaciones conectadas a la plataforma Microsoft 365, pero los datos agregados indican que hay más de mil conexiones SaaS a SaaS a Microsoft 365.

El problema de los silos organizacionales

El exceso de confianza en la seguridad de SaaS a menudo se debe a que no se comprende completamente el modelo de responsabilidad compartida. Muchos creen que las medidas de seguridad básicas, como la autenticación multifactor, son suficientes para mantener seguros sus entornos SaaS. Pero sin un monitoreo continuo, las vulnerabilidades y otros problemas de seguridad de SaaS pueden permanecer ocultos hasta que sea demasiado tarde.

Los silos organizacionales se suman a este problema. Los distintos departamentos pueden tener distintos niveles de concienciación sobre la seguridad, lo que genera lagunas en la supervisión. Si bien TI generalmente comprende la necesidad de un monitoreo continuo, es posible que las unidades de negocios no vean los riesgos del uso no controlado de SaaS y, por lo tanto, tengan una brecha mucho más amplia entre su nivel de seguridad percibido y real.

Las empresas deben cambiar su cultura hacia una mejor colaboración y responsabilidades de seguridad compartidas para solucionar estos problemas. Es hora de ir más allá de la falsa sensación de seguridad que conlleva la implementación de controles de seguridad comunes y adoptar un enfoque más integral que incluya monitoreo continuo, reevaluación periódica y un compromiso con la seguridad en todos los niveles de la organización.

Responsabilidad compartida y la importancia del monitoreo continuo

El modelo de responsabilidad compartida es una parte central de la seguridad en la nube y define de qué son responsables los proveedores de SaaS y sus clientes. Pero a menudo se malinterpreta. La seguridad de SaaS no depende sólo del proveedor: es un esfuerzo de equipo que requiere la participación activa tanto del proveedor de SaaS como del cliente. Desafortunadamente, esta responsabilidad compartida puede fracasar cuando hay una desconexión cultural, lo que deja la puerta abierta a violaciones.

El papel fundamental del SSPM

El seguimiento continuo es clave para la responsabilidad compartida. Los entornos SaaS siempre están cambiando, con actualizaciones, nuevos usuarios e integraciones que introducen nuevos riesgos. Sin un seguimiento continuo, estos problemas pueden pasar desapercibidos hasta que se explotan para provocar una filtración de datos.

Para gestionar eficazmente estos riesgos, es fundamental implementar una solución SaaS Security Posture Management (SSPM) que ofrezca capacidades integrales. Una solución SSPM sólida debe incluir gestión de configuración y desviaciones para mantener las líneas base de políticas, funcionalidad de exposición de acceso a datos para detectar configuraciones erróneas comunes y detección de amenazas que se integra con herramientas SIEM y SOC.

un completo solución SSPM debe proporcionar visibilidad de las conexiones de SaaS a SaaS y ofrecer evaluaciones de cumplimiento bajo demanda. Estas funciones brindan la supervisión en tiempo real necesaria para detectar y solucionar problemas antes de que se agraven, lo que garantiza que su entorno SaaS permanezca seguro.

El costo de ignorar el monitoreo continuo

Si bien el monitoreo continuo es un componente crítico de un programa de seguridad SaaS sólido, muchas organizaciones no se dan cuenta de lo crucial que es el monitoreo continuo hasta que ya se ha producido una infracción y el daño ya está hecho. La limpieza después de una infracción es costosa, no sólo desde el punto de vista financiero, sino también en términos de impacto reputacional. Saltarse el monitoreo continuo socava el objetivo del modelo de responsabilidad compartida porque deja brechas de seguridad que podrían haberse manejado fácilmente con las precauciones adecuadas. Para evitar esto, las organizaciones deben hacer de las soluciones SSPM un componente fundamental de su estrategia general de seguridad. De esta manera, la empresa y sus proveedores de SaaS hacen su parte para mantener todo seguro.

Informe de seguridad SaaS

A medida que más organizaciones se suben al carro de SaaS, una cultura de seguridad sólida es crucial. Profundice en los conocimientos del Informe sobre el estado de la seguridad de SaaS de 2024 y descubra cómo crear un entorno SaaS más seguro.

Consíguelo ahora

¿Cómo se puede construir una cultura de seguridad SaaS sólida?

Debido a que la cultura organizacional juega un papel tan importante en la protección contra las infracciones de SaaS, abordar la seguridad de SaaS comienza con la construcción de una sólida cultura de seguridad en su organización.

Para comenzar a crear una cultura de seguridad basada en SaaS, asegúrese de:

Mejorar la comunicación: Garantizar una línea de comunicación abierta entre las unidades de negocio y los equipos de seguridad. Todos, incluidos los ejecutivos de alta dirección, deben comprender por qué es importante la seguridad y su papel en la protección de activos y recursos. Líderes de seguridad puede ayudar comprendiendo los objetivos empresariales, ofreciendo barreras de seguridad en lugar de obstáculos y hablando el lenguaje de la colaboración.
Proporcionar formación continua en materia de concienciación cibernética: Regularmente actualice a sus empleados sobre las últimas amenazas de seguridad y las mejores prácticas. Los empleados necesitan conocer los riesgos que conlleva el uso de aplicaciones SaaS y por qué es importante cumplir con los protocolos de seguridad. Al mismo tiempo, asegúrese de mostrar a los empleados cómo las mejores prácticas de seguridad pueden mejorar su productividad.
Implementar políticas claras: Establezca políticas de seguridad claras que detallen las responsabilidades tanto de las unidades de negocio como de los equipos de seguridad. Haga que estas políticas sean fáciles de encontrar y manténgalas actualizadas periódicamente.
Fomente una mentalidad proactiva: Anime a su equipo a ser proactivo en materia de seguridad informando sobre posibles vulnerabilidades, involucrándose en iniciativas de seguridad y manteniéndose actualizado sobre las prácticas de seguridad de la empresa.
Aproveche las soluciones SSPM: Invierta en herramientas SSPM que brinden capacidades de monitoreo continuo y detección de amenazas. Estas herramientas le ayudan a detectar y solucionar problemas de seguridad antes de que se conviertan en problemas mayores.

Al tomar estas medidas, las organizaciones pueden construir una cultura que no solo impulse su negocio, sino que también priorice la seguridad y reduzca la probabilidad de infracciones relacionadas con SaaS.

Construyendo una cultura de seguridad SaaS preparada para el futuro

A medida que crece la adopción de SaaS, mantener sólida la seguridad se vuelve aún más desafiante. De cara al año 2025 y más allá, está claro que la tecnología por sí sola no será suficiente. Las organizaciones deben centrarse en crear una cultura de seguridad integrada en cada parte de sus operaciones.

Gasto inteligente para una mayor seguridad

Comienza con un gasto inteligente. Los equipos ya son conscientes de la necesidad de centrarse en la rentabilidad de sus programas de seguridad. De hecho, el 29% espera que el retorno de la inversión en ciberseguridad medido por la reducción de riesgos sea un punto clave de discusión el próximo año. Para mantenerse a la vanguardia, las empresas deben proteger sus activos más críticos, utilizar herramientas avanzadas para monitorear el acceso y las configuraciones, y aplicar Principios de confianza cero en todas sus aplicaciones.

La seguridad se trata de personas, no sólo de tecnología

En última instancia, la seguridad no se trata sólo de herramientas y tecnología. También se trata de personas. Es fundamental crear una cultura en la que todos los empleados comprendan la importancia de la seguridad. La educación continua sobre las mejores prácticas de ciberseguridad ayudará a los empleados a cumplir las políticas y prevenir violaciones de datos. A medida que las organizaciones se preparan para el futuro, alinear su cultura con prácticas de seguridad inteligentes será clave para reducir los riesgos y mantenerse seguros.

Descargue el informe completo para obtener más información sobre cómo proteger su entorno SaaS para el futuro.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

Werder Bremen: el exjugador Aaron Hunt se escapó de la policía

NOTICIAS DE TRANSFERENCIA – ¡Trabzonspor mueve a Bruno Onyemaechi al lateral izquierdo!

Angela Merkel: la mujer que desafió tanto a Putin como a Trump. “Solo pensé: mantén la calma”

Ramy Elgaml, incendios y protestas en Milán tras la muerte del joven de 19 años