Cuando las aplicaciones SaaS comenzaron a ganar popularidad, no estaba claro quién era el responsable de proteger los datos. Hoy en día, la mayoría de los equipos de seguridad y TI comprenden el modelo de responsabilidad compartida, en el que el proveedor de SaaS es responsable de proteger la aplicación, mientras que la organización es responsable de proteger sus datos.
Sin embargo, lo que es mucho más turbio es dónde recae la responsabilidad de los datos del lado de la organización. Para las grandes organizaciones, esta es una pregunta particularmente desafiante. Almacenan terabytes de datos de clientes, datos de empleados, datos financieros, datos estratégicos y otros registros de datos confidenciales en línea.
Las infracciones de datos de SaaS y los ataques de ransomware de SaaS pueden provocar la pérdida o exposición pública de esos datos. Dependiendo de la industria, algunas empresas podrían enfrentar severas sanciones regulatorias por violaciones de datos además de las relaciones públicas negativas y la pérdida de fe que estas violaciones traen consigo.
Encontrar el modelo de seguridad adecuado es el primer paso antes de implementar cualquier tipo de SSPM u otra solución de seguridad SaaS.
Descubra cómo la solución SSPM de Adaptive Shield puede ayudar a proteger su pila de SaaS.
Conociendo a los jugadores
Hay varios grupos diferentes de jugadores involucrados en el ecosistema de seguridad SaaS.
Propietarios de aplicaciones SaaS – Cuando las unidades comerciales se suscriben al software SaaS, alguien dentro de la unidad comercial suele ser responsable de configurar e incorporar la aplicación. Si bien pueden recibir ayuda de TI, la aplicación es su responsabilidad.
Eligen ajustes y configuraciones que se alinean con sus necesidades comerciales, agregan usuarios y se ponen a trabajar. Los propietarios de aplicaciones SaaS reconocen la necesidad de seguridad de los datos, pero no es su responsabilidad o algo de lo que saben mucho. Algunos asumen erróneamente que la seguridad de los datos es solo responsabilidad del proveedor de SaaS.
TI central – En la mayoría de las grandes organizaciones, TI central es responsable de aspectos como la infraestructura, el hardware y las contraseñas. Administran IDP y servidores, así como también supervisan las actividades de la mesa de ayuda. Las aplicaciones SaaS normalmente no caen bajo su dominio directo.
TI central está más familiarizado con los requisitos de seguridad que el empleado promedio, pero no es su principal preocupación. Sin embargo, es importante tener en cuenta que no son profesionales de la seguridad.
Equipos de seguridad – El equipo de seguridad es la opción natural para implementar controles y supervisión de seguridad. Tienen la tarea de crear e implementar una política de ciberseguridad que se aplique en toda la organización.
Sin embargo, tienen varios desafíos que inhiben su capacidad para proteger las aplicaciones. Para empezar, a menudo desconocen las aplicaciones SaaS que utiliza la empresa. Incluso para las aplicaciones que conocen, carecen de acceso a los paneles de configuración dentro de la pila de SaaS y no siempre conocen los aspectos de seguridad únicos asociados con cada aplicación. Estos son controlados y mantenidos por los propietarios de la aplicación SaaS y TI central.
Equipos GRC – Los equipos de cumplimiento y gobierno tienen la tarea de garantizar que toda la TI cumpla con los estándares de seguridad específicos. Si bien no desempeñan un papel específico en la protección de los activos corporativos, tienen supervisión y necesitan determinar si la empresa está cumpliendo con sus responsabilidades de cumplimiento.
Proveedor de SaaS – Si bien el proveedor de SaaS está exento de cualquier responsabilidad de proteger los datos, es el equipo que construyó el aparato de seguridad para la aplicación SaaS y tiene un conocimiento profundo de su aplicación y sus capacidades de seguridad.
Definición de roles y responsabilidades
Asegurar toda la pila SaaS requiere una estrecha colaboración entre los expertos en seguridad y aquellos que administran y ejecutan sus aplicaciones SaaS individuales. Desarrollamos este gráfico RACI para compartir nuestra perspectiva sobre los departamentos que son responsables, deben rendir cuentas, consultarse e informarse sobre las diferentes tareas involucradas en la protección de los datos de SaaS.
Tenga en cuenta que esta tabla no es única para todos, sino un marco basado en la forma en que vemos que muchas empresas manejan sus roles de seguridad SaaS. Debe adaptarse a las necesidades de su organización.
Obtenga más información sobre las funciones y responsabilidades de los usuarios de SaaS. Programe una demostración hoy.
Construyendo la infraestructura adecuada
Desarrollar la matriz RACI es importante, pero sin las herramientas adecuadas, implementar las responsabilidades de seguridad se convierte en una tarea casi imposible.
Las organizaciones necesitan una plataforma de seguridad SaaS que facilite una comunicación clara entre el equipo de seguridad y los propietarios de la aplicación. Esta comunicación debe incluir alertas cuando se produzcan errores de configuración que debiliten la postura de seguridad de la aplicación individual y cuando las herramientas de gobierno de IAM detecten amenazas.
La comunicación debe ser independiente del canal, de modo que los usuarios puedan recibir mensajes y alertas por correo electrónico, Slack, Splunk o la plataforma de mensajería que elijan. Todas las notificaciones relacionadas con la seguridad también deben incluir pasos de remediación, proporcionando a los propietarios de aplicaciones y al departamento de TI central una comprensión clara de los pasos necesarios para mitigar el riesgo.
Dentro de la plataforma, cada propietario debe tener visibilidad y acceso a la aplicación o aplicaciones bajo su control. Deberían poder ver el estado de su configuración de seguridad, su puntuación de seguridad, sus usuarios, las aplicaciones SaaS de terceros que están conectadas a su aplicación y los dispositivos que se utilizan para acceder a su aplicación SaaS.
Los propietarios de aplicaciones y TI central también deben tener la capacidad de descartar una alerta de seguridad debido, ya sea porque no se aplica o debido a necesidades comerciales, y consultar con el equipo de seguridad sobre el riesgo.
Proteger los datos de SaaS requiere un esfuerzo entre equipos
Es fácil pasar por alto la seguridad de las aplicaciones SaaS. Se encuentra fuera de la vista del equipo de seguridad y es administrado por profesionales competentes cuyas responsabilidades no incluyen la seguridad.
Sin embargo, los datos contenidos en las aplicaciones SaaS suelen ser el elemento vital de una organización, y la falta de protección de los datos puede tener consecuencias desastrosas.
La protección completa de los datos contra la exposición requiere un esfuerzo y un compromiso entre equipos de todas las partes involucradas, así como una plataforma SSPM sofisticada creada para SaaS en el mundo real.
Descubra cómo un SSPM puede ayudar a proteger sus datos. Reserve una demostración.
