Computación en la nube

Gestión de SaaS: lidiar con la expansión de SaaS

0 0 6 minutos de lectura
SaaS Risk Management 101

La creciente adopción de software empresarial como servicio (SaaS), con un gasto global de usuarios finales que crece más del 40 por ciento y se proyecta que alcanzará los $170 mil millones para 2023, es fácil de ver por qué. A medida que las empresas se mueven para admitir nuevas formas de trabajo, las aplicaciones SaaS brindan una forma ágil y flexible de brindar a los empleados la funcionalidad que necesitan, cuando y donde la necesitan.

Desafortunadamente, esta flexibilidad es un arma de doble filo. Las redes de aplicaciones SaaS pueden crecer más rápido de lo que los equipos de TI pueden hacer un seguimiento de ellas.

Si las empresas no pueden manejar su amplia red de aplicaciones SaaS, corren el riesgo de sufrir brechas de seguridad y problemas financieros. Sin embargo, muchas empresas no logran administrar adecuadamente las aplicaciones SaaS. Algunos equipos de TI se sienten intimidados por el aparentemente lento proceso de auditoría y mitigación de los riesgos de SaaS.

Es posible que otros no entiendan los riesgos que plantean las aplicaciones SaaS, ni reserven los recursos necesarios para administrarlas de manera efectiva. Incluso cuando los equipos de seguridad y TI toman medidas para administrar y proteger las aplicaciones SaaS, las soluciones que emplean para mitigar estos riesgos a menudo son insuficientes porque a menudo tienen «puntos ciegos» que pueden conducir a descuidos graves.

Cuatro desafíos clave relacionados con la gestión de SaaS ponen en riesgo a las empresas. Los equipos de TI y seguridad deben comprender estos desafíos, comparar sus deficiencias con las soluciones tradicionales y desarrollar estrategias para abordarlas. Como resultado, podrán aprovechar mejor todos los beneficios de las aplicaciones SaaS.

4 grandes desafíos de la gestión de SaaS

1. Expansión de datos

Las aplicaciones SaaS se pueden vincular rápidamente entre sí para formar una gran red: los datos fluyen rápidamente entre las aplicaciones. Debido a la importancia de las API abiertas en aplicaciones SaaS populares como Salesforce, casi todas las aplicaciones pueden conectarse a otras aplicaciones de alguna manera. Si bien esto proporciona una gran comodidad, también es una gran responsabilidad para los equipos de TI y seguridad. ¿Cómo puede mantener seguros los datos confidenciales si no sabe dónde o adónde van?

Los empleados alimentan la expansión al almacenar datos en lugares no autorizados. Si su empresa usa Box para el almacenamiento, pero un empleado insiste en usar Google Drive, ese es un flujo de datos completamente nuevo para administrar, y eso suponiendo que el equipo de TI sepa lo que está haciendo ese empleado.

LEER
Tiger Woods dice que Greg Norman debe dejar LIV Golf para negociar con el PGA Tour Golf News
Publicaciones relacionadas

1. SaaS en la sombra

Idealmente, los empleados buscarían el permiso de TI antes de instalar y activar aplicaciones SaaS. Desafortunadamente, en el mundo real, los empleados a menudo usan nuevas aplicaciones SaaS sin permiso, lo que permite que terceros no autenticados accedan a datos confidenciales. Si bien la red de aplicaciones SaaS que TI entiende es abrumadora, es solo una pequeña parte de la red general. De hecho, hasta el 50 por ciento de la huella de SaaS de una organización típica puede estar oculta para la administración.

Como era de esperar, el «SaaS en la sombra» complica el proceso de seguimiento y protección de datos. Las aplicaciones no autorizadas no pasan por los procesos normales de revisión de TI, lo que aumenta el riesgo. Si una sola aplicación SaaS maneja mal los datos y viola regulaciones como GDPR o HIPAA, toda la organización ahora es responsable. Peor aún, si el equipo de finanzas no logra identificar las tarifas de licencia para el «SaaS en la sombra», puede llevar a que las tarifas imposibles de rastrear se acumulen rápidamente.

2. Riesgos de seguridad y mala configuración

Debido a que las aplicaciones SaaS son tan adaptables, vienen con mucha instalación y configuración. Desafortunadamente, esto significa que las aplicaciones pueden estar mal configuradas y poner en riesgo los datos confidenciales de la empresa. Los equipos de TI a menudo se esfuerzan por lograr que cada configuración sea correcta en el momento del lanzamiento, pero con el tiempo, el uso diario a menudo hace que la configuración cambie. Baste decir que las configuraciones incorrectas de la aplicación SaaS son un problema del Día 2, cuando es fácil suponer que el trabajo más duro se realiza después del Día 1.

Las configuraciones incorrectas de las aplicaciones tienen consecuencias reales y son un problema generalizado: una encuesta reciente de Cloud Security Alliance descubrió que un sorprendente 63 % de las organizaciones experimentaron un incidente de seguridad en el último año debido a configuraciones incorrectas de SaaS. En el peor de los casos, una configuración incorrecta podría hacer que los datos confidenciales estén disponibles públicamente. Cada licencia individual también debe configurarse correctamente con los permisos correctos. Si a los empleados de nivel inferior se les otorgan licencias de nivel de administrador, el riesgo de amenazas internas aumenta significativamente, al igual que el riesgo de que un empleado con buenas intenciones ejerza por error los privilegios de administrador.

3. SaaS es un gasto excesivo e ineficiente

Dado el modelo basado en suscripción de la mayoría de las licencias de SaaS, los pequeños costos recurrentes se acumulan con el tiempo. Desafortunadamente, muchas empresas gastan mucho dinero cada año en licencias de SaaS no aprobadas o no deseadas, y con frecuencia no saben que está sucediendo.

Como se mencionó anteriormente, Shadow SaaS es un costo significativo para muchas organizaciones, pero incluso las aplicaciones SaaS con licencia pueden incurrir en gastos innecesarios. Las decisiones departamentales hacen que las empresas a menudo aprueben múltiples licencias para aplicaciones que tienen el mismo propósito. Los administradores también son propensos a errores humanos, como duplicar licencias, no revocar licencias asociadas con ex empleados y otorgar licencias a empleados que no las necesitan o no tienen permiso para usarlas.

La importancia de un único punto de verdad

Las empresas que entienden los desafíos de los desechos en la nube mencionados anteriormente a menudo están ansiosas por reducir el riesgo de las aplicaciones SaaS, pero las estrategias que eligen a menudo se quedan cortas. Existen algunas herramientas populares que abordan algunos de los desafíos de administración de SaaS; estas incluyen herramientas de Cloud Access Security Broker (CASB), herramientas de administración de postura de seguridad de SaaS (SSPM) y plataformas de administración de SaaS (SMP).

Cada una de estas herramientas proporciona información clave de SaaS, pero a menudo no es información completa. Por ejemplo, las herramientas CASB monitorean el uso del servicio en la nube, pero esto generalmente se limita a las aplicaciones SaaS que conocen los departamentos de TI. Esto significa que Shadow SaaS y todas las responsabilidades que conlleva permanecen ocultas. Si bien la implementación de múltiples herramientas permite que cada una llene los puntos ciegos de la otra, integrarlas trae nuevos desafíos y responsabilidades.

En lugar de tratar de usar muchas herramientas en aras de la minuciosidad, los CISO y los CIO deben esforzarse por implementar la solución más simple que proporcione tres dimensiones clave de conocimiento: amplitud, profundidad y contexto.

ancho Es la capacidad de descubrir cada aplicación SaaS en la red, y cada tipo de datos que se comparten, y cómo esos datos se mueven de una aplicación a otra.

profundidad Necesita detectar configuraciones incorrectas, comportamiento potencialmente malicioso y otra información que puede pasar desapercibida fácilmente.

contexto Implica analizar cómo los usuarios, las aplicaciones SaaS, los dispositivos y los servicios interactúan entre sí.

Para lograr la amplitud, la profundidad y el contexto de una mejor gestión de SaaS, las empresas necesitan una única fuente de verdad, lo que requiere que los administradores tengan:

  • Una «instantánea» de todos los hechos relacionados con la red de aplicaciones SaaS de una empresa. Esto incluye el inventario completo de aplicaciones (tanto SaaS con licencia como en la sombra), una lista completa de ajustes y configuraciones para cada aplicación, y el personal y los niveles de privilegios asociados con cada licencia.
  • Una forma de rastrear la dinámica de los datos empresariales. Esto incluye poder identificar qué usuarios y dispositivos de usuario interactúan con cada aplicación en la nube, cómo cada aplicación almacena y usa los datos que obtiene y cómo los usuarios inician y cierran sesión en cada aplicación.

Formular estrategias de gestión

Por supuesto, conocer el estado de la red SaaS de su empresa solo es valioso si su empresa puede actuar en consecuencia. Su equipo de TI debe estar dispuesto a identificar y eliminar cualquier amenaza o anomalía que surja. Esto requiere trabajo en equipo entre los equipos de TI, finanzas, operaciones comerciales, legales y de seguridad. Así que esta no es una iniciativa departamental, sino un objetivo de toda la empresa.

La implementación de una solución integral puede tener un efecto dominó beneficioso en toda la organización. va a:

  • Permite a los equipos de finanzas y operaciones comerciales realizar un seguimiento del uso de licencias, minimizar costos y bloquear riesgos potenciales.
  • Permita que los equipos legales y de seguridad realicen un seguimiento del flujo de datos y protejan la reputación de la empresa.
  • Se alienta a los empleados a ser más responsables sabiendo que se está monitoreando el uso de su aplicación SaaS.

Los equipos de TI y seguridad deben tener una gestión SaaS adecuada en su hoja de ruta, porque esa es la única forma de evitar una responsabilidad significativa a medida que las aplicaciones SaaS se vuelven más críticas para una fuerza laboral distribuida. Al eliminar el riesgo y los costos innecesarios, los equipos de TI y seguridad pueden hacer que los lugares de trabajo remotos sean más seguros y beneficiarse de la comodidad de las aplicaciones SaaS sin riesgo. La complejidad de SaaS solo aumentará, por lo que se debe implementar una estrategia sólida lo más rápido posible.

LEER
El vínculo clave entre la inteligencia artificial y una buena gestión de datos
Etiquetas
0 0 6 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba