Los servicios en la nube se han vuelto cada vez más importantes para las operaciones diarias de muchas empresas, y la rápida adopción de aplicaciones web ha permitido que las empresas continúen operando con problemas de productividad limitados, incluso cuando las restricciones globales del coronavirus han obligado a gran parte del mundo a trabajar desde casa.
Pero al mismo tiempo, incluso las grandes corporaciones han sido víctimas de los piratas informáticos. ¿Cómo puede mantener la integridad de sus recursos y datos de TI sin dejar de aprovechar los beneficios del software como servicio (SaaS)?
Si bien la ciberseguridad es un tema amplio y complicado, consideremos un escenario SaaS hipotético y examinemos algunos de los riesgos.
Imagine que uno de sus empleados está escribiendo un informe confidencial. Podría tener datos financieros o médicos. Podría tener información sobre un nuevo diseño revolucionario. Sea lo que sea, el informe debe mantenerse confidencial.
¿Qué pasaría si su empleado escribe el informe en Google Docs? Supongamos que esta decisión no pasó del departamento de TI. El empleado lo hizo por costumbre porque Google Docs es lo que había estado usando durante años para compartir documentos fácilmente con sus compañeros de trabajo.
¿Cuáles son algunos de los riesgos que enfrenta su empresa?
Resumen
El problema de las aplicaciones no autorizadas
Un problema clave que puede enfrentar es simplemente no saber que el informe está en Google Docs. Cuando su departamento de TI no conoce las aplicaciones SaaS que utiliza su equipo, no pueden evaluar si son seguras.
Por lo tanto, estas aplicaciones se consideran TI en la sombra, tecnología utilizada sin el permiso o el conocimiento del departamento de TI. El problema, por supuesto, no es acerca de Google.
El mismo problema podría ocurrir con un documento de Word sincronizado a través de Dropbox o con cualquier otra aplicación SaaS legítima que almacene datos en la nube. El problema es la falta de visibilidad.
Shadow IT puede ser un problema grave, pero a menudo existe porque los empleados carecen de las herramientas adecuadas. Como señaló Harvard Business Review, cerrar la TI en la sombra «a veces puede ser una respuesta adecuada, pero también hemos visto que TI adopta un enfoque de mente abierta y trabaja con éxito con la unidad deshonesta para ayudar a proteger los datos, estandarizar las API y, en última instancia, ensamblar soluciones. que combinan servicios internos y externos. En general, nos inclinamos por este último enfoque».
A veces, el enfoque correcto es asegurar las aplicaciones y asegurarse de que se utilicen de manera responsable.
Cómo mejorar la seguridad de su SaaS
¿Qué puede hacer para mejorar los procesos de sanción, el cumplimiento y la seguridad de sus aplicaciones SaaS? Además de hacer su debida diligencia en la investigación de proveedores de servicios, aquí hay algunas sugerencias.
Las contraseñas son frutas al alcance de la mano. Asegúrese de que todos en su empresa tengan y usen un administrador de contraseñas adecuado como LastPass o 1Password. Es posible que desee considerar solicitar claves de seguridad de hardware como las de Yubico. Google ha tenido un gran éxito en la prevención de ataques de phishing simplemente requiriendo que los empleados usen claves de seguridad físicas para la autenticación de dos factores.
También puede beneficiarse del uso de una herramienta de administración de SaaS, especialmente si usa una gran cantidad de servicios de software o tiene un problema con la TI paralela.
Torii, una plataforma de administración de SaaS, puede ayudarlo a descubrir y evaluar todas las aplicaciones basadas en la nube que se utilizan dentro de su organización.
A medida que agrega más servicios, hacer un seguimiento de lo que usan sus empleados, adónde va su dinero y detalles como cuándo se renovarán los contratos puede ayudarlo a mantener la seguridad de esos servicios y asegurarse de que no gasta de más ni duplica capacidades. .
Torii puede ayudarlo a ahorrar dinero al eliminar el desperdicio, pero quizás lo que es más importante, puede brindarle una visibilidad completa y dinámica de cómo su organización usa las aplicaciones SaaS. También puede usarlo para configurar acciones desencadenadas para la «administración autónoma de SaaS», como enviar un cuestionario a los miembros del equipo que han adoptado nuevas aplicaciones.
Las dos caras de la seguridad SaaS
Por supuesto, debe evaluar las aplicaciones SaaS, incluso las aprobadas oficialmente, tanto desde una perspectiva interna como externa. Debe observar no solo sus propias prácticas de seguridad, sino también las prácticas de seguridad del servicio que está utilizando.
Es probable que los datos extremadamente confidenciales no deban salir de su red, pero toda la información de identificación personal (PII) debe manejarse correctamente, o correrá el riesgo de tener problemas de cumplimiento normativo.
En el aspecto interno, los departamentos de TI se enfrentan habitualmente a problemas con contraseñas incorrectas. Incluso después de años de noticias sobre filtraciones de datos graves, «123456» seguía siendo una de las contraseñas más utilizadas en 2019.
Y, según Yubico, un fabricante de claves de autenticación de hardware, más de dos tercios de los empleados comparten contraseñas y acceso a aplicaciones con colegas, mientras que más de la mitad también usan las mismas contraseñas para cuentas personales y comerciales.
Otro problema potencial es simplemente la cantidad de información que los usuarios tienden a compartir con las aplicaciones SaaS. Mucha gente comparte fácilmente calendarios y libretas de direcciones, y si bien hacerlo puede ser conveniente, también proporciona a la aplicación datos adicionales, datos que puede que no necesite para sus propósitos y datos que pueden ser confidenciales. Al igual que con todos los datos, cuando se trata de aplicaciones SaaS, debe preguntarse a dónde va esa información, cómo se almacenará y qué hará el proveedor de servicios con ella.
En el lado externo, incluso cuando un servicio SaaS aparentemente tiene buenas políticas que rigen el uso de sus datos, las vulnerabilidades del código aún pueden comprometer el software. La violación de Equifax de 2017, por ejemplo, fue perpetrada por piratas informáticos que explotaron un error en Apache Struts, un marco de aplicación web de código abierto. Aunque había disponible un parche para el error, Equifax no lo había instalado. Sin una actualización oportuna, Equifax quedó vulnerable a un problema conocido. Como resultado, se perdió información confidencial sobre unos 150 millones de estadounidenses.
Haciéndonos cargo de tu seguridad
La seguridad es un objetivo móvil y mitigar el riesgo es una tarea interminable. Si bien nunca puede eliminar el riesgo por completo, al menos puede reducirlo. Con pasos de seguridad básicos y una evaluación cuidadosa del uso de SaaS de su empresa, puede reducir su superficie de ataque y proteger mejor sus datos.
