El treinta y uno por ciento de las organizaciones experimentó una violación de datos de SaaS en los últimos 12 meses, un aumento del 5% con respecto al año anterior, según un nuevo informe. Este aumento puede estar relacionado con una visibilidad inadecuada de las aplicaciones que se están implementando, incluidas las conexiones de terceros a las plataformas principales de SaaS.
Casi la mitad de las empresas que utilizan Microsoft 365 creen que tienen menos de 10 aplicaciones conectadas a la plataforma, pero los datos agregados del informe muestran que el número promedio de conexiones supera el millar. Un tercero admitió que no sabe cuántas aplicaciones SaaS hay implementadas en su organización.
Aplicaciones SaaS: un objetivo popular para los ciberdelincuentes
Para el “Informe sobre el estado de la seguridad de SaaS 2024”, la plataforma de seguridad AppOmni encuestó a gerentes y expertos en TI de 644 empresas en EE. UU., Reino Unido, Francia, Alemania, Japón y Australia en febrero y marzo de 2024. Casi la mitad tiene más de 2500 empleados.
“Las unidades de negocio o los individuos a menudo pasan por alto los procesos tradicionales de adquisición de TI para adoptar nuevas aplicaciones SaaS de terceros que se integran perfectamente con sus plataformas SaaS principales”, escribieron los autores.
Según otro informe reciente de Onymos, la empresa promedio depende ahora de más de 130 aplicaciones SaaS, en comparación con solo 80 en 2020.
Son un objetivo popular para los ciberdelincuentes debido a los datos confidenciales que almacenan, los numerosos puntos de entrada debido a su amplia adopción e integración con otros servicios y su dependencia de entornos de nube a menudo mal configurados.
Gartner predijo que el 45% de las organizaciones a nivel mundial habrán experimentado ataques en sus cadenas de suministro de software para 2025.
VER: Millones de aplicaciones de Apple eran vulnerables al ataque a la cadena de suministro de CocoaPods
La gobernanza de seguridad descentralizada acompaña la implementación de aplicaciones SaaS, lo que puede provocar la formación de brechas
Otro factor en juego es el avance gradual hacia la descentralización de la gobernanza de la seguridad, que ha generado confusión sobre las responsabilidades y, por tanto, brechas peligrosas.
SaaS ha reemplazado en gran medida al software local que se protege fácilmente con medidas de seguridad física como cámaras y guardias. Como SaaS está basado en la nube, se implementa en diferentes dispositivos y es utilizado por diferentes personas, su seguridad y gobernanza también se han dispersado.
Sólo el 15% de los encuestados indicaron que la responsabilidad de la seguridad de SaaS está centralizada en el equipo de ciberseguridad de la organización.
“Los beneficios de las operaciones descentralizadas van acompañados de una confusión de responsabilidades entre el CISO, los jefes de línea de negocio y el equipo de ciberseguridad”, escribieron los autores del informe. “Los cambios necesarios para la seguridad integral de SaaS a menudo pasan a un segundo plano en relación con los objetivos comerciales, incluso cuando los jefes de las unidades comerciales carecen del conocimiento para implementar controles de seguridad”.
Agregaron: “Y debido a que existe tanta autonomía a nivel del propietario de la aplicación con respecto a los controles de seguridad, es difícil implementar medidas de ciberseguridad consistentes para proteger contra vulnerabilidades específicas de la aplicación”.
La investigación de aplicaciones SaaS no está a la altura, ni siquiera las sancionadas por la empresa.
Casi todas las organizaciones encuestadas solo implementaron aplicaciones SaaS que cumplían con criterios de seguridad definidos. Sin embargo, el 34% dijo que las reglas no se aplican estrictamente. Esto marca un aumento del 12% con respecto a la encuesta de 2023.
La confusión de responsabilidades entre los líderes empresariales y los equipos de TI y su deseo de obtener beneficios de eficiencia lo más rápido posible significa que las aplicaciones no siempre obtienen el más alto nivel de verificación de seguridad antes de implementarse.
Además, sólo el 27% de los encuestados confía en los niveles de seguridad de las aplicaciones sancionadas. Menos de un tercio confía en la seguridad de los datos de su empresa o de sus clientes almacenados en aplicaciones SaaS empresariales, lo que supone una disminución del 10 % con respecto al año pasado.
Los autores del informe escribieron: “Las aplicaciones SaaS varían ampliamente en la forma en que manejan políticas, eventos y controles para administrar el acceso y los permisos. Por lo tanto, la gestión ad hoc de políticas por aplicación puede llevar a una implementación inconsistente”.
Recomendaciones para construir un entorno SaaS seguro
El equipo de AppOmni proporcionó varios pasos para garantizar un entorno SaaS seguro:
- Identifique la superficie de ataque de SaaS auditando el patrimonio de SaaS y determinando los niveles de acceso. Priorice las aplicaciones que almacenan y procesan información crítica para el negocio.
- Defina las funciones y responsabilidades de los profesionales de seguridad y los líderes empresariales, y elabore procedimientos operativos estándar para procesos como la incorporación de nuevas aplicaciones, el establecimiento de líneas base de políticas y la incorporación y baja de usuarios.
- Establezca permisos sólidos y una detección precisa de amenazas en el entorno SaaS para minimizar la cantidad de alertas de seguridad y permitir correcciones sistémicas.
- Asegúrese de que existan políticas de detecciones y aprobación para aplicaciones SaaS conectadas y conexiones OAuth, no solo para las aplicaciones principales. Utilice la matriz de madurez de eventos SaaS de código abierto para revisar los eventos admitidos para las aplicaciones conectadas.
- Formule una estrategia de respuesta a incidentes que priorice la respuesta a los riesgos e incidentes de SaaS, incluido el alcance, la investigación, la protección y la presentación de informes.
Brendan O’Connor, director ejecutivo y cofundador de AppOmni, dijo en el informe: “Los días de espera de los proveedores de SaaS como principales proveedores de seguridad para su patrimonio SaaS han terminado.
“Como sistema operativo empresarial, su patrimonio SaaS requiere un programa de seguridad bien estructurado, alineación organizacional en materia de responsabilidad y rendición de cuentas, y monitoreo continuo a escala”.
