Ante el auge que está experimentando la modalidad de software como servicio (SaaS), los ciberdelincuentes están poniendo cada vez más sus miras en esta área. Este año, las amenazas en estos entornos seguirán proliferando, por lo que será fundamental extremar las precauciones.
Garantizar la seguridad en los entornos SaaS no resulta una tarea sencilla, pero tampoco imposible. El crecimiento de las amenazas en esta área hace imprescindible reforzar la seguridad en ella, para lo que será clave tener en cuenta estos cuatro aspectos.
Debilidades de la aplicación web
Las aplicaciones web son el núcleo de las operaciones de las empresas de SaaS, y pueden almacenar parte de la información más confidencial, como los datos de los clientes.
A menudo, las aplicaciones SaaS son lo que se denomina ‘multitenant’, esto es, de múltiples propietarios o usuarios. Por lo tanto, deben estar bien protegidas de ataques en los que un cliente podría acceder a los datos de otro cliente aprovechando fallos lógicos, de inyección o debilidades en el control de acceso.
Se trata de errores fáciles de explotar por ciberdelincuentes y fáciles de cometer al escribir código.
Realizar pruebas de seguridad con un escáner de vulnerabilidades automatizado en combinación con pentesting regulares (pruebas de acceso a sistemas para detectar vulnerabilidades), puede ayudar a la hora de diseñar y crear aplicaciones web más seguras.
Errores de mala configuración
Los CTO o los ingenieros de DevOps son los responsables de asegurar cada configuración en la nube, rol de usuario y permiso para garantizar que cumplan con la política de la empresa.
Los errores de configuración pueden ser extremadamente difíciles de detectar y solucionar manualmente. Según Gartner, estos errores provocan el 80% de todas las brechas de seguridad de datos y, hasta 2025, hasta el 99% de los errores en el entorno cloud se deberán a errores humanos.
Para mitigar este riesgo, la monitorización de la red externa es imprescindible, así como realizar pruebas de acceso a la infraestructura cloud que mostrará los posibles problemas que pueden existir. Entre ellos, depósitos S3 mal configurados, o firewalls y cuentas en la nube demasiado permisivas.
En el mercado hay un amplio abanico de herramientas que pueden ayudar a realizar estas tareas para escanear vulnerabilidades y monitorizar la superficie de ataque asegurando que solo los servicios que necesitan estar expuestos a Internet sean accesibles.
Software vulnerable y aplicación de parches
Aunque pueda parecer obvio, sigue siendo un gran problema que persiste en muchos negocios. Y en SaaS no son una excepción.
Al alojar una aplicación, es clave asegurarse de que los parches de seguridad del sistema operativo y de la biblioteca se aplican a medida que se publican. Pero hay que tener en cuenta que se trata de un proceso continuo, ya que las vulnerabilidades de seguridad en los sistemas operativos y las bibliotecas se encuentran y reparan constantemente.
El uso de prácticas de DevOps y la infraestructura efímera pueden ayudar a garantizar que el servicio siempre se implementa en un sistema con parches completos en cada versión. No obstante, también es clave monitorizar cualquier nueva debilidad que pueda descubrirse entre las distintas las versiones.
Una alternativa son las ofertas gratuitas (y de pago) sin servidor y de plataforma como servicio (PaaS) que ejecutan la aplicación en un contenedor, que se encarga de parchear el sistema operativo por el cliente.
Políticas y prácticas de seguridad interna débiles que afectan a SaaS
Muchas empresas de SaaS son pequeñas y están en crecimiento, y su postura de seguridad puede ser deficiente. Sin embargo, los ciberdelincuentes no hacen distinciones en este aspecto. Algunas medidas simples, como usar un gestor de contraseñas, habilitar la autenticación de dos factores y apostar por la capacitación en seguridad pueden aumentar significativamente la protección.
Disponer de un gestor de contraseñas es una opción rentable y fácil de implementar que ayuda a mantener contraseñas únicas y seguras en todos los servicios online.
Habilitar el doble o múltiple factor de autenticación siempre que sea posible también contribuirá a reforzar la seguridad. El doble factor de autenticación(2FA) requiere un segundo token además de la contraseña correcta. Esta podría ser una clave de seguridad de hardware (más segura), una contraseña de un solo uso basada en el tiempo (moderadamente segura) o una contraseña de un solo uso enviada a un dispositivo móvil (menos segura).
No todos los servicios son compatibles con 2FA, pero donde sea compatible, debe estar habilitado.
Y, cómo no, la concienciación en ciberseguridad es fundamental. Hay que asegurarse de que el equipo entiende cómo mantener una buena higiene en seguridad, especialmente a la hora de reconocer y evitar hacer clic en enlaces de phishing. Sin embargo, la proliferación de las ciberamenazas lleva a que la necesidad de formar y concienciar en ciberseguridad sea un aspecto a considerar y renovar a menudo para no quedarse atrás.
