Por qué necesita un plan de gobernanza de SaaS y qué debería incluir 

0
4

La adopción del SaaS está superando con creces el consumo de la IaaS (infraestructura como servicio). A pesar de eso, las organizaciones se están enfocando casi exclusivamente en la seguridad de la infraestructura. También deben considerar un plan de gobernanza del SaaS que implemente medidas de seguridad para reducir el riesgo asociado con su uso. Ese plan incluye una combinación de marcos de cumplimiento, documentación/diligencia responsable y medidas técnicas para el monitoreo continuo y la reducción de riesgos. 

Gran parte del debate sobre la seguridad en torno a la adopción de la nube se centra en proveedores de la infraestructura como servicio (IaaS) / plataforma como servicio (PaaS) como Amazon Web Services (AWS), Microsoft Azure y Google Cloud, y con toda razón. Las organizaciones han experimentado un tremendo crecimiento en la adopción de la IaaS y han sido testigos de innumerables titulares sobre fallas de seguridad asociadas con los errores de configuración en la IaaS. 

Sin embargo, se han pasado por alto los riesgos que presentan la mala implementación y seguridad del SaaS. Gartner pronostica que el SaaS seguirá siendo el segmento de mercado de nube pública más grande, y esa predicción se produjo antes de la COVID-19, que facilitó un auge del SaaS sin precedentes. Además, las organizaciones suelen utilizar solo unos pocos proveedores de IaaS, como los tres grandes proveedores de servicios en la nube (CSP, por sus siglas en inglés), pero consumen muchas más ofertas de SaaS. Un estudio del 2020 de Blissfully encontró que las grandes empresas usan hasta 288 aplicaciones de SaaS diferentes, mientras que las pequeñas y medianas empresas (pymes) utilizan más de 100. 

Si bien es posible que su organización haya comenzado a madurar su seguridad IaaS, probablemente no ocurra lo mismo con el panorama del SaaS, que es más amplio y diverso. Esta realidad también hace que el uso de la TI paralela (shadow IT) de los proveedores de SaaS sea mucho más frecuente que los proveedores de IaaS, debido a la gran variedad de ofertas de SaaS en el mercado y la facilidad con la que puede consumirlas, a menudo con tan solo una tarjeta de crédito. 

Un estudio realizado por Zylo encontró que las organizaciones están agregando a la empresa, en promedio, 10 productos de SaaS al mes y TI solo gestiona el 25% de ellos directamente. Eso es un gran riesgo de SaaS no administrado. A pesar de este crecimiento exponencial en el uso del SaaS, un estudio de AppOmni encontró que solo el 32% de los encuestados emplea algún tipo de herramienta para garantizar la seguridad de los datos en SaaS. 

A pesar de esta adopción generalizada de SaaS, ¿por qué las organizaciones continúan centrándose casi exclusivamente en los problemas de seguridad de la IaaS? Algo de eso se debe a una mala comprensión del modelo de responsabilidad compartida y al hecho de asumir que, en un ambiente SaaS, el CSP es responsable de todo. El otro factor es que los equipos de seguridad simplemente están luchando por mantenerse al día con el uso de la nube de sus organizaciones, y con las consecuencias de las infracciones de datos generalizadas de alto perfil de la IaaS. 

Los principales proveedores de IaaS ofrecen rutas claras de certificación y aprendizaje, lo que garantiza que los profesionales puedan aprender a proteger sus plataformas y dar fe de ello. El SaaS no ofrece el mismo escenario. Como profesionales de la seguridad, debemos continuar evolucionando, y la seguridad SaaS está lista para madurar hasta el punto en que pueda comenzar a mitigar esta enorme cantidad de riesgo no abordado. 

Un enfoque frente al riesgo del SaaS
La implementación de la seguridad para el uso del SaaS debe basarse en los datos. Esto significa observar los datos internos a los que tiene acceso el producto de SaaS, el nivel de acceso dentro de su empresa y las posibles ramificaciones regulatorias y de seguridad si esos datos fueran expuestos inadvertidamente o comprometidos maliciosamente. Esto es especialmente cierto con la dispersión geográfica de la fuerza laboral de hoy en día, donde las personas acceden a los datos desde cualquier lugar, a menudo desde sus propios dispositivos. 

El primer paso en el proceso es capturar qué SaaS está utilizando su organización. Dependiendo de la madurez y la arquitectura técnica de la organización, esto podría ser un proceso de administración de inventario manual o requerir herramientas técnicas como agentes de seguridad de acceso a la nube (CASBs, por sus siglas en inglés), que pueden ayudar a identificar el uso de SaaS paralelo. 

Cuando las organizaciones comienzan a poner rigor de seguridad en el uso del SaaS, tienden a adoptar dos enfoques. Uno se centra en los marcos de seguridad como SOC2, PCI y FedRAMP, así como en la revisión de la documentación. El otro se centra en la evaluación técnica, el refuerzo y el seguimiento continuo. El enfoque ideal implica un poco de ambos, como se explica a continuación. 

Marcos de trabajo, documentación e informes
Cuando las organizaciones comienzan a examinar los productos de SaaS para su organización (idealmente antes de comprarlas e implementarlas), tiende a involucrar marcos de trabajo populares como SOC2, CSA CCM y STAR/CAIQ o FedRAMP. 

SOC2 se ha convertido, cada vez más, en una opción popular para los proveedores de SaaS, ya que ayuda a validar los controles internos de una empresa relacionados con la seguridad, disponibilidad, confidencialidad, integridad y privacidad. Otra opción popular es el Consensus Assessment Initiative Questionnaire (CAIQ) de CSA, que documenta qué controles existen en las ofertas de XaaS y está vinculado a los Cloud Controls Matrix (CCM) de CSA, un marco de trabajo para el control de seguridad específico de la nube. En el lado del sector público, el Federal Risk and Authorization Management Program (FedRAMP) se utiliza ampliamente como una forma de autorizar los productos de servicios en la nube (CSO) para el consumo gubernamental y utiliza controles de seguridad NIST 800-53. 

Las organizaciones a menudo hacen y deben pedir estas certificaciones porque, con frecuencia, incluyen un proceso de organización de evaluación de terceros (3PAO) donde una entidad de terceros verifica que la organización SaaS y su producto cumplen con un nivel de rigor específico en cuanto a la seguridad. Esto le da a su organización un nivel de garantía de que el producto de SaaS no es completamente inseguro, y que la organización está realizando una actividad de seguridad básica en torno a su propia infraestructura y cómo manejan y almacenan los datos de los clientes. 

La elección de qué marcos de trabajo utilizar depende, en gran medida, de la industria en la que opera la organización, así como de la madurez del proveedor de SaaS. Dado que estos marcos de trabajo pueden requerir mucho tiempo y recursos, los proveedores de SaaS más nuevos generalmente no buscan las certificaciones hasta que hayan madurado un poco y sus clientes las hayan solicitado. También existe la realidad de que, debido al número exponencial de productos de SaaS en el mercado, algunos de los principales programas de cumplimiento simplemente no se han mantenido a la par, como FedRAMP. 

En los casos en los que el proveedor de SaaS no tiene una certificación o auditoría, o incluso si la tiene, y los datos que usará para ellos son altamente confidenciales, es posible que desee profundizar en su documentación y otros criterios para verificar su idoneidad. Esto podría incluir resultados de pruebas de penetración internas o externas (que a menudo requieren un NDA) y discusiones sobre arquitectura, autenticación, cifrado y mucho más. Estas actividades adicionales ayudan a brindarle a su organización un nivel de seguridad relacionado al riesgo de utilizar una oferta de SaaS específica. 

Cobertura/capacidades técnicas del SaaS
Si bien los marcos de trabajo son un gran comienzo en términos de examinar las ofertas de SaaS, es solo el comienzo. También debe considerar los controles técnicos, las configuraciones y el monitoreo como parte de su estrategia de gobernanza de SaaS. Cada producto de SaaS viene con una abundancia de características y configuraciones únicas, con las que la mayoría de su personal no estará familiarizado desde una perspectiva de seguridad. 

Ingrese a las herramientas de gestión de la postura de seguridad de SaaS (SSPM, por sus siglas en inglés), que monitorean la postura de seguridad de su aplicación SaaS. Algunas de las herramientas SSPM más populares son AppOmni y Obsidian. Estos proveedores soportan algunas de las ofertas líderes de SaaS, como Box, GitHub, Salesforce y Slack. 

Han elaborado configuraciones seguras, escaneos de seguridad, mejores prácticas y recomendaciones para ayudar a las organizaciones a fortalecer su uso de SaaS. Muchas de estas ofertas aprovechan los recursos de la industria cuando es posible, como CIS Benchmarks para ofertas SaaS, incluidas Microsoft 365 y Google Workspace, que pueden contener comunicaciones y datos confidenciales. 

Estos esfuerzos de endurecimiento pueden ayudar a proteger a su organización de problemas de seguridad predominantes, como cuentas perjudicadas, configuración insegura, cumplimiento de regulaciones y la administración de acceso. También pueden ayudar con la respuesta a incidentes. Esto es increíblemente valioso, ya que es probable que su fuerza de trabajo no tenga la información y la experiencia de seguridad específicas necesarias para cada una de sus aplicaciones de SaaS. Los proveedores de SSPM agregan constantemente más productos de SaaS a su cobertura y, según el tamaño de su organización, es posible que pueda ayudar a dar forma a su hoja de ruta de productos para cubrir SaaS que se usa ampliamente en su organización. 

Además de las preocupaciones de seguridad técnica, las organizaciones también deben preocuparse por el cumplimiento del paradigma SaaS. ¿Recuerda ese modelo de responsabilidad compartida? Todavía se aplica aquí. 

Las plataformas como AppOmni pueden ayudar a reforzar automáticamente los controles de cumplimiento crítico relacionados con marcos de trabajo de amplia aplicación como PCI, HIPAA, GDPR y NIST. Es insostenible para una organización mantener el cumplimiento continuo de estos potenciales centenares de marcos de trabajo de aplicaciones SaaS, y aquí es donde las soluciones técnicas para aumentar esos esfuerzos realmente pueden brillar. 

Chris Hughes CSO.com 

 

Artículo anteriorIntel invertirá 80.000 millones de euros para impulsar la fabricación de chips en Europa
Artículo siguienteLas empresas reducirán un 30% los costos operativos al rediseñar sus procesos y automatizarlos