El software como servicio (SaaS) es una modalidad que ha ido ganando adeptos con el paso del tiempo. Hoy en día, una gran mayoría de empresas cuenta con alguna solución en modo SaaS ante las ventajas que aporta este modelo. No obstante, los riesgos de seguridad también están ahí y es importante abordarlos para no lamentar el fuerte impacto que puede ocasionar en el negocio.

El pasado año, el mercado de servicios en la nube pública, que incluye SaaS (software como servicio), IaaS (infraestructura como servicio), y PaaS (plataforma como servicio) creció un 29%. Estas cifras de la consultora IDC ponen de manifiesto que las empresas siguen apostando por el modelo “as a service”. Sus posibilidades a la hora de disponer de las últimas soluciones tecnológicas sin necesidad de instalar ni preocuparse de su mantenimiento son su gran baza.

No obstante, aún persiste cierta desconfianza respecto a la seguridad, privacidad y propiedad de los datos que gestionan estos sistemas al no estar localizado “en la casa del cliente”. Es una ínfima parte pero a la que hay que prestar atención y seguir trabajando para constatar la seguridad de la que hoy en día ya gozan las soluciones bajo este modelo.

Esto abre las puertas a 3 desafíos clave que será necesario abordar.

Los retos de la seguridad SaaS

El primer reto a tener en cuenta es reforzar siempre la seguridad con nuevas opciones. Si bien las aplicaciones SaaS incluyen gran cantidad de configuraciones de seguridad nativas, el equipo de seguridad de la organización debe fortalecerlas.

Otro de los puntos a tener muy en cuenta es el relacionado con los accesos. Desde BitLife Media hemos hablado largo y tendido a través de distintos artículos de la necesidad de abordar la gestión de identidades y accesos. Sin duda, una puerta de entrada a las amenazas que hay que controlar.

Sin embargo, a menudo vemos cómo se otorgan accesos a aplicaciones de terceros a aplicaciones SaaS que representan potenciales amenazas potenciales para la empresa. Se trata de un desafío en el que aún se necesario avanzar.

Y, en tercer lugar, otro de los retos que sigue siendo una asignatura pendiente en muchas organizaciones es el de la verificación de la seguridad de los dispositivos desde los que los empleados acceden a las aplicaciones SaaS.

Especialmente con el auge del trabajo remoto, muchos usuarios han utilizado sus dispositivos personales para conectarse a aplicaciones empresariales sin saber si eran seguros. O el caso contrario, el uso de dispositivos corporativos para temas personales, pudiendo comprometer después la seguridad de la empresa al acceder a aplicaciones SaaS.

Una gestión eficiente

Para abordar estos tres desafíos, las organizaciones deben contar con una estrategia de seguridad que contemple también la protección del software que utilizan bajo el modelo de licencia SaaS. ¿Por dónde empezar?

saas gestión seguridad software como servicio licencia noticia bit life media

Un primer paso a tener en cuesta es la gestión de errores de configuración. Tener todos los ajustes de la aplicación correctamente configurados no siempre es sencillo. El desafío radica en lo que cuesta hacerlo ya que cada aplicación tiene decenas o cientos de configuraciones de seguridad, además de distintos roles de usuario y permisos. A esto hay que añadir los estándares y marcos de cumplimiento que tiene cada la industria y que las organizaciones se esfuerzan por seguir cumplir.

Por tanto, la complejidad de proteger las aplicaciones SaaS aumenta también solo por el hecho de que, a menudo, el propietario de la aplicación SaaS no se siente parte del equipo de seguridad. Formar un auténtico equipo que proteja estos activos será crucial.

Junto a esto, es importante gestionar eficientemente el acceso a aplicaciones de terceros. OAuth 2.0, el estándar abierto para la autorización de APIs que permite compartir información entre sitios sin tener que compartir la identidad ya ha hecho cambios en este sentido.

La versión 2.0 ha simplificado enormemente la autenticación y la autorización y ofrece una autorización muy detallada de los derechos de acceso. Representada en forma de ámbitos, una aplicación solicita la autorización del usuario para permisos específicos.

Enfoque holístico

A través de la aprobación de los ámbitos, el usuario otorga a estas aplicaciones permisos para ejecutar código. Estas aplicaciones pueden ser inofensivas o representar una amenaza tan peligrosa como un archivo ejecutable.

Cuando se trata de máquinas locales y archivos ejecutables, las organizaciones ya tienen un control integrado que permite a los equipos de seguridad bloquear programas y archivos problemáticos. Cuando se trata de aplicaciones SaaS, se debe tender a hacer lo mismo.

Y, por último, desde la primera entrada hasta la postura de seguridad del dispositivo, los equipos de seguridad deben poder identificar y gestionar los riesgos que proceden de los usuarios de SaaS y sus dispositivos asociados.

Un dispositivo con un diagnóstico de seguridad bajo, puede representar un alto riesgo según las aplicaciones que esté usando ese empleado. En el caso de un usuario con muchos privilegios, un dispositivo no seguro puede representar un nivel de riesgo aún mayor para una organización.

El equipo de seguridad necesita tener la capacidad de correlacionar los usuarios de la aplicación SaaS, sus roles y permisos con los niveles de cumplimiento e integridad de sus dispositivos asociados. Este tratamiento de extremo a extremo permitirá un enfoque holístico de confianza cero para la seguridad de SaaS.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre