Imag\u00ednese esto: un bloqueo de toda la empresa para el CRM de la empresa, como Salesforce, porque el administrador externo de la organizaci\u00f3n intenta deshabilitar MFA por s\u00ed mismo. No piensan consultar con el equipo de seguridad y no consideran las implicaciones de seguridad, solo la facilidad que necesitan para que su equipo use su inicio de sesi\u00f3n. <\/p>\n
Este CRM, sin embargo, define MFA como una configuraci\u00f3n de seguridad de primer nivel; por ejemplo, Salesforce tiene una configuraci\u00f3n de “Valor de inicio de sesi\u00f3n de alta seguridad” e inmediatamente bloquea a todos los usuarios como medida de seguridad. Toda la organizaci\u00f3n se paraliza y est\u00e1 frustrada y confundida. <\/p>\n
Profundamente preocupante, este no es un evento \u00fanico, los administradores de aplicaciones SaaS cr\u00edticas para el negocio a menudo se sientan fuera del departamento de seguridad y tienen un control profundo. Estos administradores, que no est\u00e1n capacitados y no se centran en las medidas de seguridad, est\u00e1n trabajando para alcanzar los KPI departamentales. Por ejemplo, Hubspot generalmente es propiedad del departamento de marketing, del mismo modo, Salesforce a menudo es propiedad del departamento comercial, etc. Los departamentos comerciales poseen estas aplicaciones porque es lo que les permite hacer su trabajo de manera eficiente. Sin embargo, la paradoja radica en el hecho de que es responsabilidad del equipo de seguridad proteger la pila de aplicaciones SaaS de la organizaci\u00f3n y no pueden ejecutar esta tarea de manera efectiva sin el control total de la aplicaci\u00f3n SaaS.<\/p>\n
los Informe de la encuesta de seguridad de SaaS de 2022<\/a>, dirigido por CSA y Adaptive Shield, profundiza en la realidad de esta paradoja, presentando datos de CISO y profesionales de la seguridad en la actualidad. Este art\u00edculo explorar\u00e1 puntos de datos importantes de los encuestados y discutir\u00e1 cu\u00e1l podr\u00eda ser la soluci\u00f3n para los equipos de seguridad.<\/p>\n Descubra c\u00f3mo sus equipos de seguridad pueden recuperar el control de todas las aplicaciones SaaS<\/em><\/a>. <\/em><\/p>\n En una organizaci\u00f3n t\u00edpica, se utiliza una amplia gama de aplicaciones SaaS (consulte la figura 1), desde plataformas de datos en la nube, aplicaciones de colaboraci\u00f3n y uso compartido de archivos hasta CRM, gesti\u00f3n de proyectos y trabajos, automatizaci\u00f3n de marketing y mucho m\u00e1s. La necesidad de todas y cada una de las aplicaciones SaaS llena un determinado rol de nicho requerido por la organizaci\u00f3n. Sin el uso de todas estas aplicaciones SaaS, una empresa podr\u00eda retrasarse o tardar m\u00e1s en alcanzar sus KPI. <\/p>\n Cuando se les pregunt\u00f3 cu\u00e1l era el motivo principal de los incidentes de seguridad provocados por errores de configuraci\u00f3n (figura 3), los encuestados en el informe de la encuesta mencionaron estos entre los cuatro principales: (1) Hay demasiados departamentos con acceso a la configuraci\u00f3n de seguridad; (2) Falta de visibilidad de las configuraciones de seguridad cuando se modifican (3) Falta de conocimiento de seguridad de SaaS; (4) Permisos de usuario malversados. Todas estas razones, ya sea de forma expl\u00edcita o impl\u00edcita, se pueden atribuir a la paradoja de propiedad de la aplicaci\u00f3n SaaS. <\/p>\n La causa principal de los incidentes de seguridad causados \u200b\u200bpor errores de configuraci\u00f3n es tener demasiados departamentos con acceso a la configuraci\u00f3n de seguridad. Esto va de la mano con la siguiente causa: falta de visibilidad cuando se modifican los cambios de seguridad. Un departamento comercial puede realizar cambios en la configuraci\u00f3n de una aplicaci\u00f3n para optimizar su facilidad de uso sin consultar o notificar al departamento de seguridad.<\/p>\n Adem\u00e1s, la apropiaci\u00f3n indebida de permisos de usuario puede provenir f\u00e1cilmente de un propietario del departamento comercial que no est\u00e1 prestando especial atenci\u00f3n a la seguridad de la aplicaci\u00f3n. A menudo, a los usuarios se les otorgan permisos privilegiados que ni siquiera necesitan.<\/p>\n Con este modelo de responsabilidad compartida, la \u00fanica forma eficiente de cerrar esta brecha de comunicaci\u00f3n es a trav\u00e9s de una plataforma SaaS Security Posture Management (SSPM). Aclamada como una soluci\u00f3n IMPRESCINDIBLE para evaluar continuamente los riesgos de seguridad y administrar la postura de seguridad de las aplicaciones SaaS en las “4 tecnolog\u00edas imprescindibles que hicieron el ciclo de publicidad de Gartner para la seguridad en la nube, 2021”, dicha soluci\u00f3n puede alertar al equipo de seguridad sobre cualquier cambio de configuraci\u00f3n de la aplicaci\u00f3n realizado por el propietario de la aplicaci\u00f3n y proporcione instrucciones claras sobre c\u00f3mo solucionarlo a trav\u00e9s de un sistema de gesti\u00f3n de colaboraci\u00f3n o emisi\u00f3n de tickets.<\/p>\n Con una soluci\u00f3n SSPM, propiedad y administrada por el equipo de seguridad de la organizaci\u00f3n, el equipo de seguridad puede obtener una visibilidad completa de todas las aplicaciones SaaS de la empresa y su configuraci\u00f3n de seguridad, incluidos los roles y permisos de los usuarios. W<\/p>\n Las organizaciones pueden ir un paso m\u00e1s all\u00e1 y hacer que los propietarios de las aplicaciones se unan a la plataforma SSPM para que puedan controlar y supervisar activamente todas las configuraciones en sus propias aplicaciones. Mediante el uso de una capacidad de administraci\u00f3n con \u00e1mbito (figura 4), el equipo de seguridad puede otorgar a los propietarios de la aplicaci\u00f3n acceso a las aplicaciones que poseen y puede remediar los problemas de seguridad. con<\/em> su supervisi\u00f3n y direcci\u00f3n.<\/p>\n No hay forma de eliminar el acceso de los departamentos comerciales a la configuraci\u00f3n de seguridad de la aplicaci\u00f3n SaaS y, si bien los usuarios de toda la organizaci\u00f3n deben ser educados sobre la seguridad SaaS b\u00e1sica para reducir el riesgo que puede ocurrir en los departamentos comerciales, no siempre sucede o es simplemente no es suficiente. Las organizaciones necesitan implementar una soluci\u00f3n que ayude a evitar estas situaciones al permitir la visibilidad y el control para el equipo de seguridad, alertando sobre desviaciones de configuraci\u00f3n, registros de auditor\u00eda que brinden informaci\u00f3n sobre las acciones dentro de las aplicaciones SaaS y los administradores de \u00e1mbito.<\/p>\nApps SaaS en manos de los departamentos de negocio<\/h2>\n
\n\n
\n ![\"Paradoja](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659634272_354_Quien-tiene-el-control-la-paradoja-del-administrador-de-la.jpg\" "\\"Paradoja")
<\/td>\n<\/tr>\n\n Figura 2. Departamentos que administran aplicaciones SaaS, Informe de encuesta de seguridad de SaaS de 2022<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Desempaquetando la paradoja de propiedad de la aplicaci\u00f3n SaaS <\/h4>\n
C\u00f3mo los equipos de seguridad pueden recuperar el control<\/h2>\n