Las empresas recurren en masa a las aplicaciones de software como servicio como un medio para mejorar la eficiencia de sus operaciones y la productividad de sus empleados, pero el control deficiente del acceso a las aplicaciones en la nube está poniendo en riesgo los datos de muchas organizaciones.
Según un estudio publicado el martes por DoControl, la empresa promedio de 1000 personas que usa aplicaciones SaaS expone sus datos a entre 1000 y 15 000 colaboradores externos.
Entre 200 y 3000 empresas también tienen acceso a los datos de una empresa, agregó, mientras que el 20 por ciento de los archivos SaaS de una empresa típica se comparten internamente con cualquier persona que pueda hacer clic en un enlace.
El informe advirtió que el riesgo que representa el acceso inmanejable de datos SaaS no es un problema aislado o trivial.
El cuarenta y tres por ciento de las violaciones de datos analizadas en 2020 se atribuyeron a vulnerabilidades de aplicaciones web, señaló el informe. Si bien puede sorprender que casi la mitad de todas las filtraciones de datos se remonten a las aplicaciones SaaS, dada la creciente dependencia de esos programas por parte de las empresas, tiene sentido que esta sea un área de amenaza tan grande.
“En promedio, una empresa de 1000 personas almacena entre 500 000 y 10 000 000 de activos en aplicaciones SaaS”, dijo Adam Gavish, cofundador y director ejecutivo de DoControl, con sede en la ciudad de Nueva York, que proporciona monitoreo, orquestación y remediación de acceso a datos para SaaS. aplicaciones
“Por lo tanto, las empresas que permiten el intercambio público pueden, sin darse cuenta, permitir que se compartan públicamente hasta 200,000 de estos activos”, dijo a TechNewsWorld.
Es probable que el problema empeore. Gartner predice que el uso de los servicios SaaS seguirá creciendo, con ingresos que aumentarán más del 30 %, de 110 500 millones de USD en 2020 a 143 700 millones de USD en 2022.
Tabla de Contenidos
Acelerado por Covid
Ese crecimiento recibió un impulso por la pandemia mundial.
“Las soluciones SaaS realmente han demostrado su valor desde el comienzo de la pandemia”, dijo Jake Kouns, CEO y CISO de Risk Based Security, un proveedor de inteligencia de vulnerabilidades, datos de brechas y calificaciones de riesgo en Richmond, Virginia.
“Las ofertas de SaaS son fáciles de configurar y, por lo general, no requieren recursos de TI para aprovisionarse”, dijo a TechNewsWorld.
“Esto significa que la empresa puede identificar problemas y buscar soluciones por su cuenta, en su propio marco de tiempo”, dijo.
“Además”, continuó, “con el cambio al trabajo remoto, la capacidad de acceder a una solución SaaS desde cualquier lugar con conexión a Internet es extremadamente valiosa”.
El covid-19 sin duda tuvo un gran impacto en la adopción de servicios en la nube, sostuvo John Morgan, director ejecutivo de Confluera, un fabricante de plataformas de seguimiento de ciberamenazas en Palo Alto, California.
“Si bien muchas organizaciones ya habían planeado dicha adopción, el cronograma se aceleró enormemente debido a Covid-19 y la necesidad de poder trabajar de forma remota”, dijo a TechNewsWorld.
“La prisa por la adopción también ha creado brechas en la cobertura de seguridad que están resultando en exposiciones e infracciones de datos”, dijo.
Brecha de visibilidad del software
Liz Herbert, vicepresidenta y analista principal de Forrester Research, explicó que cuando SaaS se afianzó a principios de la década de 2000, muchas personas y ejecutivos de líneas de negocios buscaron ofertas de SaaS gratuitas y a pequeña escala que eran fáciles de comprar bajo el radar porque sintieron que las ofertas satisfacían mejor sus necesidades y les dieron más velocidad y agilidad, en comparación con las opciones autorizadas por las empresas.
“En muchos casos, lograron sólidos resultados comerciales, al menos al principio”, dijo a TechNewsWorld.
“Hoy, la expansión de SaaS se ha convertido en un problema importante y, en la mayoría de los casos, nadie sabe realmente qué tan grande es”, dijo.
Cualquier activo que no se administre representa un riesgo, agregó Mark Guntrip, director senior de estrategia de seguridad cibernética en Menlo Security, un proveedor de seguridad en la nube en Mountain View, California.
“Mientras observa el aumento en la adopción de aplicaciones SaaS, incluidas las aplicaciones de uso personal, las personas e incluso los departamentos pueden introducir fácilmente una nueva aplicación sin la participación de TI”, dijo a TechNewsWorld.
“Esto puede crear una brecha de visibilidad para la seguridad que puede afectar a una organización”, dijo.
Por diseño, la nube ofusca el funcionamiento interno de las aplicaciones y los datos almacenados en ella, agregó Morgan.
“Si bien esto puede ofrecer simplicidad a algunas organizaciones, la ofuscación también puede desdibujar la información sobre posibles amenazas y ataques”, dijo.
“Las amenazas modernas aprovechan esta característica para ocultarse bajo el radar y navegar a través de las redes de la organización para identificar los datos de destino”, agregó.
Problema de datos en todas partes
Con las plataformas en la nube y SaaS de hoy, la red corporativa ya no es la única forma de acceder a los datos, explicó Brendan O’Connor, director ejecutivo y cofundador de AppOmni, un proveedor de gestión de posturas de seguridad en la nube en San Francisco.
Ahora se accede con frecuencia a los datos a través de aplicaciones de terceros, dispositivos IoT en el hogar y portales creados para usuarios externos como clientes, socios, contratistas y MSP, continuó.
“A menudo, el acceso a través de estos canales pasa por alto por completo la red corporativa y, en cambio, se basa en tokens OAuth u otros tipos de verificación”, dijo a TechNewsWorld.
“Si bien las empresas están ansiosas por usar estos puntos de acceso para aumentar la funcionalidad de sus sistemas SaaS y en la nube”, dijo, “a menudo se olvidan de asegurarlos y monitorearlos de la misma manera que están seguros en su red corporativa, lo que lleva a importantes acceder a vulnerabilidades que pueden ser completamente desconocidas para la empresa”.
El uso de SaaS no administrado significa que los datos corporativos confidenciales pueden proliferar en ubicaciones que nunca tuvieron la intención de albergar ese tipo de datos, agregó Sounil Yu, CISO de JupiterOne, un proveedor de soluciones de gobierno y gestión de activos cibernéticos con sede en Morrisville, Carolina del Norte.
“Las aplicaciones SaaS a menudo se integran con otras aplicaciones SaaS”, dijo a TechNewsWorld. “Si esas integraciones tampoco se administran, las organizaciones corren el riesgo de otorgar un acceso demasiado permisivo y continuo a los datos de su corporación a través de múltiples canales SaaS”.
Qué hacer
Las organizaciones están haciendo un esfuerzo para reducir el riesgo que las aplicaciones SaaS representan para sus datos sin sofocar la velocidad, la creatividad y el éxito comercial, señaló Herbert.
“La solución no es simple, sino generalmente una combinación de aplicaciones de educación, gobernanza y verificación previa”, dijo.
“Algunas organizaciones han probado sanciones y castigos, pero han tenido un éxito mixto frente a la educación y estrategias de abastecimiento más inteligentes”, agregó.
O’Connor sostuvo que se necesita un nuevo enfoque para mantenerse al día con los entornos de nube y SaaS que cambian rápidamente.
“Los equipos de seguridad y TI ya no pueden confiar exclusivamente en la experiencia interna y esperar mantenerse al día”, afirmó.
“Dado que la complejidad de los entornos de nube y SaaS, y las configuraciones de seguridad asociadas, seguirán aumentando, las empresas deberán usar herramientas automatizadas para garantizar que sus configuraciones de seguridad coincidan con su intención comercial y monitorear continuamente los controles de seguridad para evitar la desviación de la configuración. ,» él dijo.
“Simplemente, esta ya no es una tarea que los equipos puedan realizar utilizando solo procesos manuales”, agregó.
