{"id":1161926,"date":"2024-01-31T19:45:38","date_gmt":"2024-01-31T19:45:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-sec-no-dejara-tranquilos-a-los-ciso-comprension-de-las-nuevas-reglas-de-ciberseguridad-de-saas\/"},"modified":"2024-01-31T19:45:43","modified_gmt":"2024-01-31T19:45:43","slug":"la-sec-no-dejara-tranquilos-a-los-ciso-comprension-de-las-nuevas-reglas-de-ciberseguridad-de-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-sec-no-dejara-tranquilos-a-los-ciso-comprension-de-las-nuevas-reglas-de-ciberseguridad-de-saas\/","title":{"rendered":"La SEC no dejar\u00e1 tranquilos a los CISO: comprensi\u00f3n de las nuevas reglas de ciberseguridad de SaaS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/La-SEC-no-dejara-tranquilos-a-los-CISO-comprension-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La SEC no le est\u00e1 dando v\u00eda libre a SaaS.  Las empresas p\u00fablicas aplicables, conocidas como &#8220;registrantes&#8221;, ahora est\u00e1n sujetas a requisitos de divulgaci\u00f3n de incidentes cibern\u00e9ticos y preparaci\u00f3n de ciberseguridad para los datos almacenados en sistemas SaaS, junto con las aplicaciones de terceros y de cuartos conectadas a ellos. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.sec.gov\/news\/press-release\/2023-139\" target=\"_blank\">Los nuevos mandatos de ciberseguridad<\/a> no haga distinci\u00f3n entre datos expuestos en una vulneraci\u00f3n que se almacenaron en las instalaciones, en la nube o en entornos SaaS.  En palabras de la propia SEC: &#8220;No creemos que un inversor razonable considerar\u00eda irrelevante una violaci\u00f3n de datos significativa simplemente porque los datos est\u00e1n alojados en un servicio en la nube&#8221;. <\/p>\n<p>Este enfoque en evoluci\u00f3n se produce cuando las deficiencias de seguridad de SaaS aparecen continuamente en los titulares y los l\u00edderes tecnol\u00f3gicos debaten. <a rel=\"nofollow noopener\" href=\"https:\/\/www.forbes.com\/sites\/forbestechcouncil\/2024\/01\/08\/how-sec-action-could-shake-up-cybersecurity\/?sh=51ae86d65379\" target=\"_blank\">c\u00f3mo la SEC puede cambiar la ciberseguridad<\/a> despu\u00e9s de acusar de fraude tanto a SolarWinds como a su CISO. <\/p>\n<h2>Por qu\u00e9 los riesgos de conexi\u00f3n de SaaS y SaaS a SaaS son importantes para la SEC y para su organizaci\u00f3n <\/h2>\n<p>La percepci\u00f3n y la realidad de la seguridad SaaS est\u00e1n, en muchos casos, muy alejadas.  L\u00edder de seguridad SaaS <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/saas-security-report-2023-sspm\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Informe sobre el estado de seguridad de SaaS de AppOmni<\/a> mostr\u00f3 que el 71% de las organizaciones calificaron su madurez de ciberseguridad SaaS como media a alta, sin embargo, el 79% sufri\u00f3 un incidente de ciberseguridad SaaS en los \u00faltimos 12 meses. <\/p>\n<p>La SEC considera que la seguridad de SaaS tambi\u00e9n es deficiente y cita el &#8220;aumento sustancial en la prevalencia de incidentes de ciberseguridad&#8221; como un factor motivador clave para su nuevo enfoque.  Por supuesto, estas preocupaciones no se limitan a un peque\u00f1o n\u00famero de registrantes que dependen de SaaS.  Statista informa que a finales de 2022, la organizaci\u00f3n global promedio utilizaba 130 aplicaciones SaaS. <\/p>\n<p>El riesgo de fuga de datos no se limita a la ubicuidad y vulnerabilidad de SaaS.  Para obtener m\u00e1s valor de las plataformas SaaS, las organizaciones realizan rutinariamente conexiones SaaS a SaaS (conectando aplicaciones de terceros a sistemas SaaS), ya sea que estas conexiones est\u00e9n aprobadas por TI o se integren de forma encubierta como una forma de <a rel=\"nofollow noopener\" href=\"https:\/\/www.securitymagazine.com\/articles\/98795-shadow-it-risk-a-dangerous-connection\" target=\"_blank\">sombra de TI<\/a>.  A medida que los empleados conectan cada vez m\u00e1s soluciones de IA con aplicaciones SaaS, los ecosistemas digitales que supervisan los CISO se vuelven m\u00e1s interconectados y nebulosos. <\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">Gu\u00eda de seguridad SaaS<\/span><a rel=\"nofollow noopener\" class=\"wn-head\" href=\"https:\/\/appomni.com\/saas-security-report-2023-sspm\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\"><\/p>\n<p>\u00bfPuede su equipo de seguridad monitorear aplicaciones de terceros?  El 60% de los equipos no pueden.<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Los equipos de seguridad sienten que lo tienen cubierto, pero los datos hablan por s\u00ed solos: el 79 % de las organizaciones sufrieron violaciones de SaaS.  El informe de AppOmni expone las sorprendentes grietas ocultas en la seguridad de SaaS.  Desc\u00e1rgalo ahora para ver si eres vulnerable.<\/p>\n<p><a rel=\"nofollow noopener\" class=\"wn-button-2\" href=\"https:\/\/appomni.com\/saas-security-report-2023-sspm\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Aprende c\u00f3mo puedes<\/a><\/section>\n<p>Los desaf\u00edos de gobernanza y los riesgos de ciberseguridad aumentan exponencialmente a medida que florecen las intrincadas conexiones SaaS a SaaS.  Si bien estas conexiones suelen aumentar la productividad organizacional, las aplicaciones SaaS a SaaS introducen muchos riesgos ocultos.  El <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/article\/unpacking-preventing-circleci-data-breach\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">incumplimiento de CircleCI<\/a>, por ejemplo, signific\u00f3 que innumerables empresas con conexiones SaaS a SaaS a la herramienta CI\/CD l\u00edder en la industria estuvieran en riesgo.  Lo mismo se aplica a las organizaciones conectadas a Qlik Sense, Okta, LastPass y herramientas SaaS similares que han sufrido recientemente incidentes cibern\u00e9ticos.<\/p>\n<p>Debido a que las conexiones SaaS a SaaS existen fuera del firewall, no pueden ser detectadas por herramientas tradicionales de escaneo y monitoreo, como Cloud Access Security Brokers (CASB) o Secure Web Gateways (SWG).  Adem\u00e1s de esta falta de visibilidad, los proveedores independientes suelen lanzar soluciones SaaS con <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/resources\/articles-and-whitepapers\/the-risks-of-oauth-tokens-and-third-party-apps-to-saas-security\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">vulnerabilidades que los actores de amenazas pueden comprometer mediante el secuestro de tokens de OAuth<\/a>, creando v\u00edas ocultas hacia los datos m\u00e1s confidenciales de una organizaci\u00f3n.  AppOmni informa que <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/blog_post\/2020-blog-how-3rd-party-apps-can-compromise-the-security-of-saas-environments\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">la mayor\u00eda de las empresas tienen instaladas 256 conexiones \u00fanicas de SaaS a SaaS<\/a> en una \u00fanica instancia SaaS. <\/p>\n<p>Los datos que podr\u00edan afectar a los inversores y al mercado ahora son accesibles (y pirateables) a trav\u00e9s de una red en expansi\u00f3n de canales digitales. <\/p>\n<h2>&#8220;Follow The Data&#8221; es el nuevo &#8220;Follow The Money&#8221;<\/h2>\n<p>Dado que la SEC tiene la tarea de proteger a los inversores y mantener &#8220;mercados justos, ordenados y eficientes&#8221;, regular las conexiones SaaS y SaaS a SaaS de los registrantes cae dentro del \u00e1mbito de competencia de la agencia.  En el anuncio de las reglas de ciberseguridad, el presidente de la SEC declar\u00f3: &#8220;Ya sea que una empresa pierda una f\u00e1brica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores&#8221;.<\/p>\n<p>El alcance y la frecuencia de las infracciones sustentan la expansi\u00f3n regulatoria de la SEC en el \u00e1mbito del riesgo cibern\u00e9tico. <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/resources\/saas-breach-info-center\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Las infracciones e incidentes de SaaS ocurren a un ritmo regular<\/a> en empresas p\u00fablicas, y AppOmni ha registrado un aumento del 25% en los ataques de 2022 a 2023. IBM calcula que <a rel=\"nofollow noopener\" href=\"https:\/\/www.ibm.com\/reports\/data-breach\" target=\"_blank\">El coste de una filtraci\u00f3n de datos promedi\u00f3 un m\u00e1ximo hist\u00f3rico de 4,45 millones de d\u00f3lares.<\/a> en 2023.<\/p>\n<p>Si bien los requisitos de divulgaci\u00f3n han atra\u00eddo la mayor atenci\u00f3n de los medios, las nuevas regulaciones de la SEC tambi\u00e9n especifican medidas de prevenci\u00f3n.  Los CISO deben describir sus procesos para &#8220;evaluar, identificar y gestionar los riesgos materiales de las amenazas a la seguridad cibern\u00e9tica&#8221;, as\u00ed como compartir el papel de la junta directiva y la administraci\u00f3n en la supervisi\u00f3n de los riesgos y las amenazas a la seguridad cibern\u00e9tica.<\/p>\n<p>Las ames o las odies, estas reglas obligan a los clientes de SaaS a adoptar una mejor higiene de ciberseguridad.  Revelar lo que sucedi\u00f3 (y lo que su organizaci\u00f3n hizo y est\u00e1 haciendo al respecto) de la manera m\u00e1s directa y sincera posible mejora la confianza de los inversores, garantiza el cumplimiento normativo y fomenta una cultura de ciberseguridad proactiva.<\/p>\n<p>En SaaS, el mejor ataque es una defensa impenetrable.  Evaluar y gestionar el riesgo de cada sistema SaaS y conexi\u00f3n SaaS a SaaS que tiene acceso a sus datos confidenciales no solo es obligatorio, sino que es esencial para evitar violaciones de datos y minimizar su impacto. <\/p>\n<h2>C\u00f3mo proteger y monitorear sus sistemas SaaS y conexiones SaaS a SaaS<\/h2>\n<p>La carga de evaluar manualmente el riesgo y la postura de seguridad de SaaS se puede aliviar con un <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/what-is-saas-security-posture-management\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Herramienta SaaS de gesti\u00f3n de la postura de seguridad (SSPM)<\/a>.  Con SSPM, puede monitorear las configuraciones y los permisos en todas las aplicaciones SaaS, adem\u00e1s de comprender los permisos y el alcance de las conexiones SaaS a SaaS, incluidas las herramientas de IA conectadas. <\/p>\n<p>Los registrantes necesitan una comprensi\u00f3n integral de todas las conexiones de SaaS a SaaS para una gesti\u00f3n de riesgos eficaz.  Esto debe incluir un inventario de todas las conexiones y los empleados que las utilizan, los datos que tocan estas conexiones y los niveles de permisos para los sistemas SaaS que se les han otorgado a estas herramientas de terceros.  SSPM eval\u00faa todos estos aspectos de la seguridad de SaaS a SaaS.<\/p>\n<p>SSPM tambi\u00e9n alertar\u00e1 a los equipos de seguridad y de TI sobre cambios de configuraci\u00f3n y permisos para garantizar que la postura se mantenga bajo control.  Tambi\u00e9n detectar\u00e1 y alertar\u00e1 sobre actividades sospechosas, como un intento de comprometer la identidad desde una direcci\u00f3n IP o ubicaci\u00f3n geogr\u00e1fica inusual. <\/p>\n<p>Los CISO y sus equipos pueden tener dificultades para cumplir con los requisitos de preparaci\u00f3n sin la postura adecuada y las herramientas de detecci\u00f3n de amenazas para reducir el riesgo de violaci\u00f3n de datos.  SSPM centraliza y normaliza los registros de actividad para ayudar a las empresas a preparar divulgaciones exhaustivas y objetivas dentro de un plazo de cuatro d\u00edas.<\/p>\n<p>S\u00f3lo el tiempo dir\u00e1 c\u00f3mo la SEC har\u00e1 cumplir estas nuevas reglas.  Pero incluso si estas regulaciones desaparecen ma\u00f1ana, intensificar la seguridad de SaaS es vital para proteger los mercados de datos en los que conf\u00edan los inversores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/the-sec-wont-let-cisos-be-understanding.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La SEC no le est\u00e1 dando v\u00eda libre a SaaS. Las empresas p\u00fablicas aplicables, conocidas como &#8220;registrantes&#8221;, ahora<\/p>\n","protected":false},"author":1,"featured_media":1161927,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,6370,90062,4664,26590,5008,4662,4668,246,201033,36,4654,201031,4659,4653,4655,2498,649,23105,7085,4666,4665,201032,13341,4660],"class_list":["post-1161926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-ciberseguridad","tag-ciso","tag-como-hackear","tag-comprension","tag-dejara","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-reglas","tag-saas","tag-sec","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-tranquilos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1161926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1161926"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1161926\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1161927"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1161926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1161926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1161926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}