Una revisión reciente de Wing Security, una empresa de seguridad SaaS que analizó los datos de más de 500 empresas, reveló algunos datos preocupantes. Según esta revisión, el 84% de las empresas tenían empleados que usaban un promedio de 3,5 aplicaciones SaaS que fueron violadas en los 3 meses anteriores. Si bien esto es preocupante, no es una gran sorpresa. El crecimiento exponencial en el uso de SaaS tiene a los equipos de seguridad y TI luchando por mantenerse al día con las aplicaciones SaaS que se utilizan y cómo. Esto no quiere decir que SaaS deba evitarse o bloquearse; por el contrario, las aplicaciones SaaS deben utilizarse para asegurar el crecimiento del negocio. Pero usarlos debe hacerse con cierto nivel de precaución.
Determinar qué aplicaciones SaaS son riesgosas
El factor de riesgo más intuitivo para determinar si una aplicación es riesgosa es buscarla y ver si ha sido violada. Las aplicaciones SaaS son claramente un objetivo a medida que vemos más y más ataques relacionados con SaaS. Una infracción es una indicación clara para mantenerse alejado, al menos hasta que el proveedor de SaaS repare y se recupere por completo (lo que puede llevar algún tiempo…). Pero hay otros criterios a tener en cuenta al determinar si una aplicación SaaS es segura de usar. Aquí hay dos más a considerar:
- Cumplimiento – Los requisitos de seguridad y privacidad que tiene o no tiene el proveedor de la aplicación son un buen indicador de su seguridad. Asegurar un SOC, HIPAA, ISO (la lista continúa…) requiere procesos largos y escrupulosos en los que la empresa debe cumplir con estrictas normas y condiciones. Conocer los cumplimientos de una empresa es imprescindible para comprender su nivel de seguridad.
- Presencia en el mercado – Comprobar si una aplicación está presente en mercados bien conocidos y contabilizados también es un paso útil para determinar su integridad, que puede vincularse a sus medidas de seguridad. En los mercados respetados, las aplicaciones deben pasar por un proceso de investigación, sin mencionar que reciben reseñas de los usuarios, que posiblemente son uno de los indicadores más importantes de la legitimidad de una aplicación.
Si bien es importante comprender qué aplicaciones son potencialmente riesgosas, no es una tarea fácil. Y tampoco es el primer paso. Según Wing Security, todas las empresas que revisaron tenían un alto número de tres dígitos de aplicaciones SaaS en uso. Entonces, la primera y básica pregunta que los equipos de seguridad deberían hacerse es:
¿Cuántas aplicaciones SaaS están usando los empleados?
Claramente, es imposible determinar si SaaS se usa de manera segura sin descubrir primero cuántas aplicaciones SaaS se usan y cuáles. Esto es básico, pero no simple. SaaS es utilizado por todos y cada uno de los empleados, y aunque hacer cumplir SSO y usar sistemas IAM es importante y útil, la naturaleza descentralizada, accesible y, a menudo, de autoservicio de las aplicaciones SaaS significa que los empleados pueden comenzar a usar casi cualquier SaaS que necesiten simplemente buscando para ello en línea y conectándolo al espacio de trabajo de su empresa, evitando fácilmente el IAM. Esto es especialmente cierto cuando se consideran las muchas aplicaciones SaaS que brindan una herramienta gratuita o una versión gratuita de la misma.
eso en mente, El descubrimiento de aplicaciones SaaS también se proporciona como una herramienta de autoservicio gratuita. por lo que responder a la pregunta mencionada anteriormente debería ser bastante fácil. Una vez que se haya establecido un mapeo claro del uso de SaaS, el siguiente paso es determinar las aplicaciones SaaS riesgosas. Una vez que las aplicaciones de riesgo se clasifican como tales, es importante revocar los tokens que recibieron de los usuarios que las conectaron a la organización. Este puede ser un proceso largo y engorroso sin una herramienta adecuada (Wing ofrece la eliminación de aplicaciones riesgosas como otra capacidad en su versión gratuita, pero con algunas limitaciones que se eliminan en su oferta premium).
Garantizar que el uso de SaaS sea seguro requiere hacer y responder dos preguntas más:
1. ¿Qué permisos se otorgaron a las aplicaciones SaaS?
Probablemente no hace falta decir que no todas las aplicaciones presentan riesgos todo el tiempo. También vale la pena agregar que incluso si se viola una aplicación SaaS, el riesgo que puede imponer depende en gran medida de los permisos que se le otorgaron. Casi todas las aplicaciones SaaS requieren cierto grado de permiso para acceder a los datos de la empresa a fin de brindar el servicio para el que fueron diseñadas. Los permisos van desde permisos de solo lectura hasta permisos de escritura que permiten que la aplicación SaaS actúe en nombre del usuario, como enviar correos electrónicos en nombre del usuario. La gestión adecuada de la postura de seguridad de SaaS significa monitorear los permisos otorgados por los usuarios a una aplicación y garantizar que solo se le otorgaron los permisos necesarios.
2. ¿Cuáles son los datos que fluyen dentro y entre estas aplicaciones?
Al final del día, se trata de proteger los datos críticos de la empresa, ya sea información comercial, Pii o código. Los datos tienen muchos formatos y fluyen de muchas maneras diferentes. La forma única en que se usa SaaS en todas las unidades y equipos comerciales y por cualquier persona en la organización plantea el riesgo de compartir datos usando aplicaciones SaaS que no están diseñadas para compartir datos de forma segura. También plantea el riesgo de que los datos se compartan entre aplicaciones SaaS. Hoy en día, muchas aplicaciones SaaS están conectadas y la incorporación de una puede dar acceso a un subconjunto de muchas otras. Es una malla gigante de interconectividad e intercambio de datos.
Comience con lo básico: conozca su capa SaaS
La seguridad SaaS puede ser abrumadora. Es una frontera nueva y robusta que está en constante evolución. También es solo otro riesgo en una larga lista de riesgos que los equipos de seguridad deben enfrentar. La clave para resolver la seguridad de SaaS es saber qué aplicaciones se están utilizando. Este primer paso básico arroja luz sobre el desafío de TI en la sombra de SaaS y permite que los equipos de seguridad evalúen adecuadamente la urgencia y la magnitud de los riesgos de seguridad de SaaS. Saber con certeza la cantidad y la naturaleza del SaaS en uso no debería ser complejo ni costoso. Existen muchas herramientas que pueden resolver esto, y usted puede prueba ala. solución gratuita de seguridad para tener una idea de lo que estás enfrentando.