En enero pasado, una empresa de SaaS Security Posture Management (SSPM) llamada Wing Security (Wing) hizo olas con el lanzamiento de su soluci\u00f3n gratuita de descubrimiento de TI SaaS-Shadow. Se invit\u00f3 a las empresas basadas en la nube a obtener informaci\u00f3n sobre el uso de SaaS de sus empleados a trav\u00e9s de un producto de autoservicio completamente gratuito que opera en un modelo “freemium”. Si un usuario est\u00e1 impresionado con la soluci\u00f3n y quiere obtener m\u00e1s informaci\u00f3n o tomar medidas correctivas, puede comprar la soluci\u00f3n empresarial.<\/p>\n
“En la realidad econ\u00f3mica actual, los presupuestos de seguridad no necesariamente se han reducido, pero los compradores son mucho m\u00e1s cuidadosos en sus decisiones de compra y con raz\u00f3n. Creemos que no se puede asegurar lo que no se sabe, por lo que saber debe ser un bien b\u00e1sico. entiende la magnitud de su capa de ataque SaaS, puede tomar una decisi\u00f3n informada sobre c\u00f3mo va a resolverlo. El descubrimiento es el primer paso natural y b\u00e1sico y debe ser accesible para cualquier persona”. dijo Galit Lubetzky Sharon, cofundadora y CTO de Wing<\/p>\n
La empresa inform\u00f3 que en las primeras semanas del lanzamiento, m\u00e1s de 200 empresas se inscribieron en su herramienta de descubrimiento gratuita de autoservicio<\/a>, sum\u00e1ndose a la base de clientes existente de la empresa. Recientemente lanzaron un breve informe sobre los resultados<\/a> de cientos de empresas que dieron a conocer el uso de SaaS, y las cifras son inquietantes.<\/p>\n En el 71,4% de las empresas, los empleados usan un promedio de 2,4 aplicaciones SaaS que han sido violadas en los \u00faltimos tres meses. En promedio, el 58% de las aplicaciones SaaS son utilizadas por un solo empleado. Una cuarta parte de los usuarios de SaaS de las organizaciones son externos. Estos n\u00fameros, junto con otros datos de inter\u00e9s, se encuentran en el informe de la compa\u00f1\u00eda, junto con explicaciones de por qu\u00e9 creen que es as\u00ed y los riesgos que deben tenerse en cuenta.<\/p>\n El uso de SaaS a menudo est\u00e1 descentralizado y es dif\u00edcil de controlar, y sus ventajas tambi\u00e9n pueden presentar riesgos de seguridad cuando no se controlan. Si bien los sistemas IAM\/IM ayudan a las organizaciones a recuperar el control sobre una parte del uso de SaaS de sus empleados, este control se limita a las aplicaciones SaaS sancionadas que TI\/Seguridad conocen. El desaf\u00edo es que los empleados suelen incorporar las aplicaciones SaaS sin involucrar a los equipos de TI o de seguridad. En otras palabras, esto es SaaS Shadow IT. Esto es especialmente cierto para muchas aplicaciones SaaS que no requieren una tarjeta de cr\u00e9dito u ofrecen una versi\u00f3n gratuita.<\/p>\n El escenario com\u00fan es el de un empleado, a menudo remoto, que busca una soluci\u00f3n r\u00e1pida a un problema comercial. La soluci\u00f3n es a menudo una aplicaci\u00f3n que el empleado encontr\u00f3 en l\u00ednea, a la que otorg\u00f3 permisos (estos pueden ser permisos de lectura y escritura, o incluso de ejecuci\u00f3n) y luego se olvid\u00f3 por completo de ella. Esto puede conducir a varios riesgos de seguridad.<\/p>\n Los ejemplos incluyen aplicaciones riesgosas con un puntaje de seguridad bajo, lo que indica una mayor probabilidad de que estas aplicaciones sean vulnerables. Y las aplicaciones que se han visto comprometidas recientemente pero que tienen permisos en los datos de la organizaci\u00f3n, comprometen inmediatamente esos datos. En su soluci\u00f3n gratuita, Wing asigna una puntuaci\u00f3n de seguridad a cada aplicaci\u00f3n encontrada y alerta a los usuarios sobre las aplicaciones de riesgo en su pila de SaaS. <\/p>\n Otros ejemplos de los riesgos inherentes a las aplicaciones SaaS incluyen aplicaciones SaaS de terceros, aquellas que se “cargan” del SaaS conocido y aprobado. O aplicaciones a las que se les otorgaron altos permisos que rara vez se otorgan: seg\u00fan Wing, el 73,3% de todos los permisos que los usuarios otorgaron a las aplicaciones no se usaron en m\u00e1s de 30 d\u00edas. Esto plantea la pregunta, \u00bfpor qu\u00e9 dejar puertas abiertas a los datos de su organizaci\u00f3n cuando ni siquiera est\u00e1 utilizando la aplicaci\u00f3n que los solicita?<\/p>\n No se puede ignorar el factor humano. Despu\u00e9s de todo, SaaS a menudo lo incorpora directamente el empleado que lo usa. Ellos son los que otorgan permisos, no siempre conscientes del significado detr\u00e1s de estos permisos. Aqu\u00ed tambi\u00e9n la soluci\u00f3n gratuita de Wing ofrece ayuda: para las primeras 100 aplicaciones encontradas, Wing proporciona una lista de los usuarios que las usan. Para obtener informaci\u00f3n completa sobre qui\u00e9nes son los usuarios, los usuarios externos y el comportamiento incoherente de los usuarios en las aplicaciones, Wing ofrece su edici\u00f3n empresarial. <\/p>\n Los riesgos asociados con la seguridad de los datos son amplios y tienen toda una categor\u00eda de productos que se ocupan de ellos, como DLP y DSPM. Sin embargo, cuando se trata de las aplicaciones SaaS que usan los empleados, los problemas relacionados con los datos pueden abarcar desde archivos confidenciales que se comparten en aplicaciones que no est\u00e1n dise\u00f1adas para compartir archivos, secretos compartidos en canales p\u00fablicos (Slack es un ejemplo com\u00fan) e incluso la enorme cantidad de archivos que los empleados comparten externamente y luego se olvidan, dejando abierta la conexi\u00f3n externa. Mantener un entorno SaaS limpio consiste no solo en mantener las aplicaciones y los usuarios, sino tambi\u00e9n en administrar la informaci\u00f3n que reside en y entre estas aplicaciones.<\/p>\n En conclusi\u00f3n, el descubrimiento de TI SaaS-Shadow se ha convertido en un \u00e1rea cr\u00edtica de preocupaci\u00f3n para los equipos de seguridad y TI, ya que el uso de aplicaciones SaaS contin\u00faa creciendo r\u00e1pidamente. Si bien las aplicaciones SaaS ofrecen numerosos beneficios para las empresas, tambi\u00e9n presentan importantes riesgos de seguridad cuando no se controlan. Estos riesgos incluyen el uso de aplicaciones violadas, la concesi\u00f3n de permisos excesivos, las incoherencias de los usuarios y los problemas de seguridad de los datos. <\/p>\n Es crucial que las organizaciones tengan visibilidad del uso de SaaS de sus empleados para tomar decisiones informadas y tomar medidas correctivas para mitigar estos riesgos. En 2023, la expectativa es que el descubrimiento b\u00e1sico de TI SaaS-Shadow ya no tenga un costo, ya que deber\u00eda ser un producto fundamental para las organizaciones que buscan proteger su entorno SaaS.<\/p>\n <\/p>\nLos riesgos tangibles del creciente uso de SaaS <\/strong><\/h2>\n
Los riesgos relacionados con SaaS se pueden clasificar en tres tipos diferentes:<\/strong><\/h2>\n
Aplicaciones relacionadas<\/strong><\/h4>\n
Usuarios relacionados<\/strong><\/h4>\n
Datos relacionados<\/strong><\/h4>\n
![\"Descubrimiento](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/Los-equipos-de-seguridad-y-TI-ya-no-necesitan-pagar.gif\" "\\"Descubrimiento")
<\/div>\n