Las aplicaciones de software como servicio han sido durante mucho tiempo blanco de ciberamenazas. Un nuevo estudio revela que estas amenazas siguen siendo una prioridad para el 78% de los líderes tecnológicos de EE. UU. a medida que más aplicaciones SaaS llegan a las empresas.
Aunque las empresas han estado priorizando la privacidad y la seguridad de los datos, su continua dependencia de SaaS y las ofertas en la nube significa que siguen en riesgo, según el The SaaS Disruption Report: Security & Data de Onymos y Enterprise Strategy Group.
Shiva Nathan, fundadora y directora ejecutiva de Onymos, dijo a TechRepublic que un riesgo importante para esta dependencia es que cuando las empresas compran un sistema SaaS para acelerar el desarrollo de aplicaciones, deben otorgar acceso a los datos al proveedor externo de SaaS a cambio.
Conceder este acceso podría provocar ciberataques y fuga accidental de datos. Esto podría ser particularmente problemático hoy en día, ya que la empresa promedio depende de más de 130 aplicaciones SaaS en comparación con solo 80 en 2020, explicó Nathan.
“Eso es un aumento del 62%”, dijo. “Cada uno de esos [SaaS apps] es una nueva superficie de ataque que pueden explotar los malos actores estatales y no estatales. Y lo están explotando. El número de ataques a la cadena de suministro de software está aumentando, especialmente contra la industria de la salud, que tuvo que pasar a un modelo de atención virtual durante la COVID-19”.
Las entidades de atención médica han dependido durante mucho tiempo de proveedores externos para realizar esa transición, agregó Nathan. Según el informe, otros sectores que dependen en gran medida de las aplicaciones SaaS incluyen:
- Gobierno.
- Logística y cadena de suministro.
- Fabricación.
- Minorista.
- Servicios bancarios y financieros.
- Educación.
Gartner predijo que el 45% de las organizaciones a nivel mundial habrán experimentado ataques en sus cadenas de suministro de software para 2025. El informe refuerza esta proyección, ya que casi la mitad (45%) de los líderes tecnológicos informaron que experimentaron un incidente de ciberseguridad a través de una aplicación SaaS de terceros. en el último año.
La importancia de la retención de datos
La encuesta, que obtuvo información de 300 líderes de desarrollo de aplicaciones, TI y seguridad, también reveló que el 91% de los encuestados enfatizaron la importancia crítica de la retención de datos para aplicaciones internas personalizadas, lo que refleja su importancia en sus prioridades de desarrollo de aplicaciones.
Nathan dijo que esta estadística le sorprendió porque estos “líderes tecnológicos reconocen lo crucial que es retener sus datos, pero todavía dependen mucho de SaaS. “Existe claramente una tensión dentro de estas organizaciones entre la velocidad de producción y la propiedad de los datos”, señaló. “Esa tensión siempre ha existido, pero está aumentando”.
Prioridades de los líderes de TI
Casi tres cuartas partes (72%) de los líderes encuestados destacaron la “seguridad” como una prioridad máxima, seguidos de cerca por el 65% que citó la “privacidad de los datos”.
Estas prioridades también se reflejan en las asignaciones de proyectos, responsabilidades y tareas en los proyectos de desarrollo de software y aplicaciones de las organizaciones, según el informe. Tres de las cinco prioridades principales fueron:
- Garantizar la privacidad de los datos (el 60% informó que era la prioridad alta o más alta).
- Creación de aplicaciones seguras (el 49% informó que era de alta o máxima prioridad).
- Mantener el control total sobre la propiedad de los datos (el 42% informó que era alta o de máxima prioridad).
La encuesta también reveló que el 65% de las aplicaciones desarrolladas internamente son críticas para el negocio, y solo el 36% de los líderes tecnológicos ejecutan todas sus aplicaciones en las instalaciones o en nubes privadas.
Las aplicaciones SaaS requieren mayor atención a su postura de seguridad
Con preocupaciones sobre la seguridad de los datos en niveles tan altos, las organizaciones necesitan reevaluar su modelo de negocio actual para aprovechar las ofertas de SaaS y la nube, según el informe de Onymos/ESG.
“Hoy en día, es muy común escuchar a los líderes tecnológicos hablar sobre su ‘postura de seguridad’; tener una ‘postura de datos’ es igualmente importante”, enfatizó Nathan. “Esto incluye preguntar qué datos comparte con sus proveedores de SaaS para recibir su servicio; ¿Realmente necesitan esos datos? ¿Qué están haciendo con él? y hacia donde va.
“El auge de los productos y servicios de IA sólo hace que responder a estas preguntas sea más importante”, afirmó.
El informe hizo algunas recomendaciones, incluido un cambio significativo en las prácticas comunes actuales de SaaS y la nube mediante la adopción de principios de arquitectura “sin datos”, que priorizan la privacidad y la seguridad de los datos.
“Este tipo de arquitectura permite a las empresas conservar la propiedad y el control total sobre sus datos, eliminando la necesidad de compartir u otorgar acceso a terceros SaaS y proveedores de nube y reduciendo el riesgo asociado”, dice el informe. “También se debería permitir a las empresas poseer y modificar el código asociado con las soluciones SaaS que utilizan para el desarrollo de sus aplicaciones y software”.
Esto permite a los equipos de ingeniería empresarial verificar y probar el código como si lo hubieran creado ellos mismos, según el informe de Onymos/ESG. “Con este enfoque, las organizaciones pueden tener plena confianza en la validez, confiabilidad y seguridad del código”, sostiene el informe.
Además, TI debe priorizar y realizar periódicamente rigurosas auditorías de seguridad y pruebas de penetración de terceros. “Estas pruebas deben incluir la comprensión de cómo fluyen los datos de la organización a través de diferentes aplicaciones y soluciones SaaS para que se puedan mitigar los problemas de acceso e intercambio de datos no deseados”, afirma el informe.
