La SEC no le está dando vía libre a SaaS. Las empresas públicas aplicables, conocidas como «registrantes», ahora están sujetas a requisitos de divulgación de incidentes cibernéticos y preparación de ciberseguridad para los datos almacenados en sistemas SaaS, junto con las aplicaciones de terceros y de cuartos conectadas a ellos.
Los nuevos mandatos de ciberseguridad no haga distinción entre datos expuestos en una vulneración que se almacenaron en las instalaciones, en la nube o en entornos SaaS. En palabras de la propia SEC: «No creemos que un inversor razonable consideraría irrelevante una violación de datos significativa simplemente porque los datos están alojados en un servicio en la nube».
Este enfoque en evolución se produce cuando las deficiencias de seguridad de SaaS aparecen continuamente en los titulares y los líderes tecnológicos debaten. cómo la SEC puede cambiar la ciberseguridad después de acusar de fraude tanto a SolarWinds como a su CISO.
Por qué los riesgos de conexión de SaaS y SaaS a SaaS son importantes para la SEC y para su organización
La percepción y la realidad de la seguridad SaaS están, en muchos casos, muy alejadas. Líder de seguridad SaaS Informe sobre el estado de seguridad de SaaS de AppOmni mostró que el 71% de las organizaciones calificaron su madurez de ciberseguridad SaaS como media a alta, sin embargo, el 79% sufrió un incidente de ciberseguridad SaaS en los últimos 12 meses.
La SEC considera que la seguridad de SaaS también es deficiente y cita el «aumento sustancial en la prevalencia de incidentes de ciberseguridad» como un factor motivador clave para su nuevo enfoque. Por supuesto, estas preocupaciones no se limitan a un pequeño número de registrantes que dependen de SaaS. Statista informa que a finales de 2022, la organización global promedio utilizaba 130 aplicaciones SaaS.
El riesgo de fuga de datos no se limita a la ubicuidad y vulnerabilidad de SaaS. Para obtener más valor de las plataformas SaaS, las organizaciones realizan rutinariamente conexiones SaaS a SaaS (conectando aplicaciones de terceros a sistemas SaaS), ya sea que estas conexiones estén aprobadas por TI o se integren de forma encubierta como una forma de sombra de TI. A medida que los empleados conectan cada vez más soluciones de IA con aplicaciones SaaS, los ecosistemas digitales que supervisan los CISO se vuelven más interconectados y nebulosos.
¿Puede su equipo de seguridad monitorear aplicaciones de terceros? El 60% de los equipos no pueden.
Los equipos de seguridad sienten que lo tienen cubierto, pero los datos hablan por sí solos: el 79 % de las organizaciones sufrieron violaciones de SaaS. El informe de AppOmni expone las sorprendentes grietas ocultas en la seguridad de SaaS. Descárgalo ahora para ver si eres vulnerable.
Los desafíos de gobernanza y los riesgos de ciberseguridad aumentan exponencialmente a medida que florecen las intrincadas conexiones SaaS a SaaS. Si bien estas conexiones suelen aumentar la productividad organizacional, las aplicaciones SaaS a SaaS introducen muchos riesgos ocultos. El incumplimiento de CircleCI, por ejemplo, significó que innumerables empresas con conexiones SaaS a SaaS a la herramienta CI/CD líder en la industria estuvieran en riesgo. Lo mismo se aplica a las organizaciones conectadas a Qlik Sense, Okta, LastPass y herramientas SaaS similares que han sufrido recientemente incidentes cibernéticos.
Debido a que las conexiones SaaS a SaaS existen fuera del firewall, no pueden ser detectadas por herramientas tradicionales de escaneo y monitoreo, como Cloud Access Security Brokers (CASB) o Secure Web Gateways (SWG). Además de esta falta de visibilidad, los proveedores independientes suelen lanzar soluciones SaaS con vulnerabilidades que los actores de amenazas pueden comprometer mediante el secuestro de tokens de OAuth, creando vías ocultas hacia los datos más confidenciales de una organización. AppOmni informa que la mayoría de las empresas tienen instaladas 256 conexiones únicas de SaaS a SaaS en una única instancia SaaS.
Los datos que podrían afectar a los inversores y al mercado ahora son accesibles (y pirateables) a través de una red en expansión de canales digitales.
«Follow The Data» es el nuevo «Follow The Money»
Dado que la SEC tiene la tarea de proteger a los inversores y mantener «mercados justos, ordenados y eficientes», regular las conexiones SaaS y SaaS a SaaS de los registrantes cae dentro del ámbito de competencia de la agencia. En el anuncio de las reglas de ciberseguridad, el presidente de la SEC declaró: «Ya sea que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores».
El alcance y la frecuencia de las infracciones sustentan la expansión regulatoria de la SEC en el ámbito del riesgo cibernético. Las infracciones e incidentes de SaaS ocurren a un ritmo regular en empresas públicas, y AppOmni ha registrado un aumento del 25% en los ataques de 2022 a 2023. IBM calcula que El coste de una filtración de datos promedió un máximo histórico de 4,45 millones de dólares. en 2023.
Si bien los requisitos de divulgación han atraído la mayor atención de los medios, las nuevas regulaciones de la SEC también especifican medidas de prevención. Los CISO deben describir sus procesos para «evaluar, identificar y gestionar los riesgos materiales de las amenazas a la seguridad cibernética», así como compartir el papel de la junta directiva y la administración en la supervisión de los riesgos y las amenazas a la seguridad cibernética.
Las ames o las odies, estas reglas obligan a los clientes de SaaS a adoptar una mejor higiene de ciberseguridad. Revelar lo que sucedió (y lo que su organización hizo y está haciendo al respecto) de la manera más directa y sincera posible mejora la confianza de los inversores, garantiza el cumplimiento normativo y fomenta una cultura de ciberseguridad proactiva.
En SaaS, el mejor ataque es una defensa impenetrable. Evaluar y gestionar el riesgo de cada sistema SaaS y conexión SaaS a SaaS que tiene acceso a sus datos confidenciales no solo es obligatorio, sino que es esencial para evitar violaciones de datos y minimizar su impacto.
Cómo proteger y monitorear sus sistemas SaaS y conexiones SaaS a SaaS
La carga de evaluar manualmente el riesgo y la postura de seguridad de SaaS se puede aliviar con un Herramienta SaaS de gestión de la postura de seguridad (SSPM). Con SSPM, puede monitorear las configuraciones y los permisos en todas las aplicaciones SaaS, además de comprender los permisos y el alcance de las conexiones SaaS a SaaS, incluidas las herramientas de IA conectadas.
Los registrantes necesitan una comprensión integral de todas las conexiones de SaaS a SaaS para una gestión de riesgos eficaz. Esto debe incluir un inventario de todas las conexiones y los empleados que las utilizan, los datos que tocan estas conexiones y los niveles de permisos para los sistemas SaaS que se les han otorgado a estas herramientas de terceros. SSPM evalúa todos estos aspectos de la seguridad de SaaS a SaaS.
SSPM también alertará a los equipos de seguridad y de TI sobre cambios de configuración y permisos para garantizar que la postura se mantenga bajo control. También detectará y alertará sobre actividades sospechosas, como un intento de comprometer la identidad desde una dirección IP o ubicación geográfica inusual.
Los CISO y sus equipos pueden tener dificultades para cumplir con los requisitos de preparación sin la postura adecuada y las herramientas de detección de amenazas para reducir el riesgo de violación de datos. SSPM centraliza y normaliza los registros de actividad para ayudar a las empresas a preparar divulgaciones exhaustivas y objetivas dentro de un plazo de cuatro días.
Sólo el tiempo dirá cómo la SEC hará cumplir estas nuevas reglas. Pero incluso si estas regulaciones desaparecen mañana, intensificar la seguridad de SaaS es vital para proteger los mercados de datos en los que confían los inversores.