En enero pasado, una empresa de SaaS Security Posture Management (SSPM) llamada Wing Security (Wing) hizo olas con el lanzamiento de su solución gratuita de descubrimiento de TI SaaS-Shadow. Se invitó a las empresas basadas en la nube a obtener información sobre el uso de SaaS de sus empleados a través de un producto de autoservicio completamente gratuito que opera en un modelo «freemium». Si un usuario está impresionado con la solución y quiere obtener más información o tomar medidas correctivas, puede comprar la solución empresarial.
«En la realidad económica actual, los presupuestos de seguridad no necesariamente se han reducido, pero los compradores son mucho más cuidadosos en sus decisiones de compra y con razón. Creemos que no se puede asegurar lo que no se sabe, por lo que saber debe ser un bien básico. entiende la magnitud de su capa de ataque SaaS, puede tomar una decisión informada sobre cómo va a resolverlo. El descubrimiento es el primer paso natural y básico y debe ser accesible para cualquier persona». dijo Galit Lubetzky Sharon, cofundadora y CTO de Wing
La empresa informó que en las primeras semanas del lanzamiento, más de 200 empresas se inscribieron en su herramienta de descubrimiento gratuita de autoservicio, sumándose a la base de clientes existente de la empresa. Recientemente lanzaron un breve informe sobre los resultados de cientos de empresas que dieron a conocer el uso de SaaS, y las cifras son inquietantes.
Los riesgos tangibles del creciente uso de SaaS
En el 71,4% de las empresas, los empleados usan un promedio de 2,4 aplicaciones SaaS que han sido violadas en los últimos tres meses. En promedio, el 58% de las aplicaciones SaaS son utilizadas por un solo empleado. Una cuarta parte de los usuarios de SaaS de las organizaciones son externos. Estos números, junto con otros datos de interés, se encuentran en el informe de la compañía, junto con explicaciones de por qué creen que es así y los riesgos que deben tenerse en cuenta.
El uso de SaaS a menudo está descentralizado y es difícil de controlar, y sus ventajas también pueden presentar riesgos de seguridad cuando no se controlan. Si bien los sistemas IAM/IM ayudan a las organizaciones a recuperar el control sobre una parte del uso de SaaS de sus empleados, este control se limita a las aplicaciones SaaS sancionadas que TI/Seguridad conocen. El desafío es que los empleados suelen incorporar las aplicaciones SaaS sin involucrar a los equipos de TI o de seguridad. En otras palabras, esto es SaaS Shadow IT. Esto es especialmente cierto para muchas aplicaciones SaaS que no requieren una tarjeta de crédito u ofrecen una versión gratuita.
El escenario común es el de un empleado, a menudo remoto, que busca una solución rápida a un problema comercial. La solución es a menudo una aplicación que el empleado encontró en línea, a la que otorgó permisos (estos pueden ser permisos de lectura y escritura, o incluso de ejecución) y luego se olvidó por completo de ella. Esto puede conducir a varios riesgos de seguridad.
Los riesgos relacionados con SaaS se pueden clasificar en tres tipos diferentes:
Aplicaciones relacionadas
Los ejemplos incluyen aplicaciones riesgosas con un puntaje de seguridad bajo, lo que indica una mayor probabilidad de que estas aplicaciones sean vulnerables. Y las aplicaciones que se han visto comprometidas recientemente pero que tienen permisos en los datos de la organización, comprometen inmediatamente esos datos. En su solución gratuita, Wing asigna una puntuación de seguridad a cada aplicación encontrada y alerta a los usuarios sobre las aplicaciones de riesgo en su pila de SaaS.
Otros ejemplos de los riesgos inherentes a las aplicaciones SaaS incluyen aplicaciones SaaS de terceros, aquellas que se «cargan» del SaaS conocido y aprobado. O aplicaciones a las que se les otorgaron altos permisos que rara vez se otorgan: según Wing, el 73,3% de todos los permisos que los usuarios otorgaron a las aplicaciones no se usaron en más de 30 días. Esto plantea la pregunta, ¿por qué dejar puertas abiertas a los datos de su organización cuando ni siquiera está utilizando la aplicación que los solicita?
Usuarios relacionados
No se puede ignorar el factor humano. Después de todo, SaaS a menudo lo incorpora directamente el empleado que lo usa. Ellos son los que otorgan permisos, no siempre conscientes del significado detrás de estos permisos. Aquí también la solución gratuita de Wing ofrece ayuda: para las primeras 100 aplicaciones encontradas, Wing proporciona una lista de los usuarios que las usan. Para obtener información completa sobre quiénes son los usuarios, los usuarios externos y el comportamiento incoherente de los usuarios en las aplicaciones, Wing ofrece su edición empresarial.
Datos relacionados
Los riesgos asociados con la seguridad de los datos son amplios y tienen toda una categoría de productos que se ocupan de ellos, como DLP y DSPM. Sin embargo, cuando se trata de las aplicaciones SaaS que usan los empleados, los problemas relacionados con los datos pueden abarcar desde archivos confidenciales que se comparten en aplicaciones que no están diseñadas para compartir archivos, secretos compartidos en canales públicos (Slack es un ejemplo común) e incluso la enorme cantidad de archivos que los empleados comparten externamente y luego se olvidan, dejando abierta la conexión externa. Mantener un entorno SaaS limpio consiste no solo en mantener las aplicaciones y los usuarios, sino también en administrar la información que reside en y entre estas aplicaciones.
En conclusión, el descubrimiento de TI SaaS-Shadow se ha convertido en un área crítica de preocupación para los equipos de seguridad y TI, ya que el uso de aplicaciones SaaS continúa creciendo rápidamente. Si bien las aplicaciones SaaS ofrecen numerosos beneficios para las empresas, también presentan importantes riesgos de seguridad cuando no se controlan. Estos riesgos incluyen el uso de aplicaciones violadas, la concesión de permisos excesivos, las incoherencias de los usuarios y los problemas de seguridad de los datos.
Es crucial que las organizaciones tengan visibilidad del uso de SaaS de sus empleados para tomar decisiones informadas y tomar medidas correctivas para mitigar estos riesgos. En 2023, la expectativa es que el descubrimiento básico de TI SaaS-Shadow ya no tenga un costo, ya que debería ser un producto fundamental para las organizaciones que buscan proteger su entorno SaaS.