Imagínese esto: un bloqueo de toda la empresa para el CRM de la empresa, como Salesforce, porque el administrador externo de la organización intenta deshabilitar MFA por sí mismo. No piensan consultar con el equipo de seguridad y no consideran las implicaciones de seguridad, solo la facilidad que necesitan para que su equipo use su inicio de sesión.
Este CRM, sin embargo, define MFA como una configuración de seguridad de primer nivel; por ejemplo, Salesforce tiene una configuración de «Valor de inicio de sesión de alta seguridad» e inmediatamente bloquea a todos los usuarios como medida de seguridad. Toda la organización se paraliza y está frustrada y confundida.
Profundamente preocupante, este no es un evento único, los administradores de aplicaciones SaaS críticas para el negocio a menudo se sientan fuera del departamento de seguridad y tienen un control profundo. Estos administradores, que no están capacitados y no se centran en las medidas de seguridad, están trabajando para alcanzar los KPI departamentales. Por ejemplo, Hubspot generalmente es propiedad del departamento de marketing, del mismo modo, Salesforce a menudo es propiedad del departamento comercial, etc. Los departamentos comerciales poseen estas aplicaciones porque es lo que les permite hacer su trabajo de manera eficiente. Sin embargo, la paradoja radica en el hecho de que es responsabilidad del equipo de seguridad proteger la pila de aplicaciones SaaS de la organización y no pueden ejecutar esta tarea de manera efectiva sin el control total de la aplicación SaaS.
los Informe de la encuesta de seguridad de SaaS de 2022, dirigido por CSA y Adaptive Shield, profundiza en la realidad de esta paradoja, presentando datos de CISO y profesionales de la seguridad en la actualidad. Este artículo explorará puntos de datos importantes de los encuestados y discutirá cuál podría ser la solución para los equipos de seguridad.
Descubra cómo sus equipos de seguridad pueden recuperar el control de todas las aplicaciones SaaS.
Apps SaaS en manos de los departamentos de negocio
En una organización típica, se utiliza una amplia gama de aplicaciones SaaS (consulte la figura 1), desde plataformas de datos en la nube, aplicaciones de colaboración y uso compartido de archivos hasta CRM, gestión de proyectos y trabajos, automatización de marketing y mucho más. La necesidad de todas y cada una de las aplicaciones SaaS llena un determinado rol de nicho requerido por la organización. Sin el uso de todas estas aplicaciones SaaS, una empresa podría retrasarse o tardar más en alcanzar sus KPI.
los Informe de la encuesta de seguridad de SaaS de 2022 informa que el 40 % de estas aplicaciones están administradas y son propiedad de equipos que no son de seguridad, como ventas, marketing, legal, etc. (consulte la figura 2). Si bien se informa que los equipos de seguridad y TI son el destino principal para la administración de aplicaciones SaaS, es el 40% de los departamentos comerciales que también participan y tienen acceso completo lo que complica el panorama de amenazas.
Los equipos de seguridad no pueden quitar esta propiedad, ya que los propietarios de las aplicaciones comerciales deben mantener un alto nivel de acceso a sus aplicaciones SaaS relevantes para un uso óptimo. Sin embargo, sin un conocimiento profundo de la seguridad o el interés creado (un KPI de seguridad que se refleja en el producto de su trabajo), no es razonable que el equipo de seguridad espere que el propietario de la empresa garantice un alto nivel de seguridad en su SaaS.
 |
| Figura 2. Departamentos que administran aplicaciones SaaS, Informe de encuesta de seguridad de SaaS de 2022 |
Desempaquetando la paradoja de propiedad de la aplicación SaaS
Cuando se les preguntó cuál era el motivo principal de los incidentes de seguridad provocados por errores de configuración (figura 3), los encuestados en el informe de la encuesta mencionaron estos entre los cuatro principales: (1) Hay demasiados departamentos con acceso a la configuración de seguridad; (2) Falta de visibilidad de las configuraciones de seguridad cuando se modifican (3) Falta de conocimiento de seguridad de SaaS; (4) Permisos de usuario malversados. Todas estas razones, ya sea de forma explícita o implícita, se pueden atribuir a la paradoja de propiedad de la aplicación SaaS.
La causa principal de los incidentes de seguridad causados por errores de configuración es tener demasiados departamentos con acceso a la configuración de seguridad. Esto va de la mano con la siguiente causa: falta de visibilidad cuando se modifican los cambios de seguridad. Un departamento comercial puede realizar cambios en la configuración de una aplicación para optimizar su facilidad de uso sin consultar o notificar al departamento de seguridad.
Además, la apropiación indebida de permisos de usuario puede provenir fácilmente de un propietario del departamento comercial que no está prestando especial atención a la seguridad de la aplicación. A menudo, a los usuarios se les otorgan permisos privilegiados que ni siquiera necesitan.
Cómo los equipos de seguridad pueden recuperar el control
Con este modelo de responsabilidad compartida, la única forma eficiente de cerrar esta brecha de comunicación es a través de una plataforma SaaS Security Posture Management (SSPM). Aclamada como una solución IMPRESCINDIBLE para evaluar continuamente los riesgos de seguridad y administrar la postura de seguridad de las aplicaciones SaaS en las «4 tecnologías imprescindibles que hicieron el ciclo de publicidad de Gartner para la seguridad en la nube, 2021», dicha solución puede alertar al equipo de seguridad sobre cualquier cambio de configuración de la aplicación realizado por el propietario de la aplicación y proporcione instrucciones claras sobre cómo solucionarlo a través de un sistema de gestión de colaboración o emisión de tickets.
Con una solución SSPM, propiedad y administrada por el equipo de seguridad de la organización, el equipo de seguridad puede obtener una visibilidad completa de todas las aplicaciones SaaS de la empresa y su configuración de seguridad, incluidos los roles y permisos de los usuarios. W
Las organizaciones pueden ir un paso más allá y hacer que los propietarios de las aplicaciones se unan a la plataforma SSPM para que puedan controlar y supervisar activamente todas las configuraciones en sus propias aplicaciones. Mediante el uso de una capacidad de administración con ámbito (figura 4), el equipo de seguridad puede otorgar a los propietarios de la aplicación acceso a las aplicaciones que poseen y puede remediar los problemas de seguridad. con su supervisión y dirección.
No hay forma de eliminar el acceso de los departamentos comerciales a la configuración de seguridad de la aplicación SaaS y, si bien los usuarios de toda la organización deben ser educados sobre la seguridad SaaS básica para reducir el riesgo que puede ocurrir en los departamentos comerciales, no siempre sucede o es simplemente no es suficiente. Las organizaciones necesitan implementar una solución que ayude a evitar estas situaciones al permitir la visibilidad y el control para el equipo de seguridad, alertando sobre desviaciones de configuración, registros de auditoría que brinden información sobre las acciones dentro de las aplicaciones SaaS y los administradores de ámbito.