Llegamos a ustedes gracias a:



Reportajes y análisis

10 puntos para examinar la seguridad del proveedor de SaaS

[15/06/2020] Para un número cada vez mayor de empresas, el software como servicio (SaaS) se ha convertido en el principal medio de acceso a aplicaciones empresariales vitales. La estrategia tiene sentido desde el punto de vista empresarial debido a los beneficios potenciales: ahorro de costos, mayor agilidad y una escalabilidad más fácil, por nombrar algunos.

Sin embargo, cualquier oferta basada en la nube conlleva riesgos de seguridad. ¿Cómo puede una organización saber con seguridad si las disposiciones de seguridad de sus proveedores de SaaS están a la altura de sus propios estándares?

"El reto que tenemos es ganar visibilidad sobre lo que el proveedor de SaaS está haciendo para asegurar su infraestructura, sus procedimientos de gestión de cambios y el proceso de respuesta a incidentes", señala Patrick Hevesi, vicepresidente y analista de la firma de investigación Gartner.

No todos los proveedores de SaaS son transparentes en cuanto a su seguridad, según un informe de Gartner del 2019. Las organizaciones necesitan entender tanto el riesgo que están tomando al poner datos importantes de los usuarios en un servicio de nube, como la confianza que deben depositar en el proveedor, según el informe.

Los proveedores de SaaS son vulnerables a muchos de los mismos ataques de malware y de hacking que asolan a cualquier otra organización. Estas amenazas pueden afectar a las empresas que utilizan los servicios. Centrar el proceso de evaluación de los proveedores de SaaS en las siguientes áreas minimizará ese riesgo.

1. Revise las políticas de parches de su proveedor SaaS

Una de las preocupaciones de los ejecutivos son los parches de seguridad. "Típicamente, los proveedores de SaaS se retrasan en la aplicación de parches, especialmente si son multiarrendatarios y su organización es uno de los muchos clientes segmentados en el servicio", anota Bernie Pinto, gerente senior de seguridad de Asurion, una empresa que ofrece seguros para teléfonos inteligentes, tabletas y otros productos.

2. Comprobar la alineación del SaaS y los controles de seguridad internos

Cuando se evalúan los proveedores de SaaS, el principal concepto que las empresas deben entender es el cambio en las responsabilidades de control de seguridad, anota Kurt John, jefe de ciberseguridad de la empresa de equipos de comunicaciones Siemens USA. El uso de las ofertas de SaaS requiere que los equipos de seguridad se centren en la interfaz entre el entorno de seguridad de su organización y el del proveedor de SaaS. "Querrán tener una comprensión firme de cómo las características de seguridad del proveedor se alinean con las políticas de seguridad de la información de su empresa", añade. "Cualquier laguna debe ser abordada en una etapa temprana del proceso".

John ve tres áreas clave en las que la alineación del control es importante:

  • Gestión de la identidad y el acceso (IAM): Los problemas pueden incluir la incapacidad de integrar una plataforma IAM empresarial existente con la oferta del proveedor de SaaS; políticas de autenticación conflictivas, que pueden causar confusión y dolores de cabeza técnicos desde el punto de vista de la usabilidad; y la falta de apoyo del proveedor de SaaS al inicio de sesión único (SSO).
  • Cifrado y gestión de claves: Los problemas en este caso incluyen que el proveedor de SaaS insiste en mantener el control sobre el cifrado, permitiéndole acceder a la información del cliente en cualquier momento, y que los datos se almacenan fuera del perímetro de seguridad de la empresa, lo que aumenta la confianza en una gestión adecuada del cifrado.
  • Monitoreo de seguridad: Las preocupaciones en este caso incluyen la incapacidad de proporcionar acceso a los datos del registro de eventos de seguridad del entorno SaaS, limitando la transparencia en los posibles riesgos de seguridad. "Uno de los retos a superar es asegurarse de que los registros no puedan ser manipulados", indica John. "La opción preferida sería tener una conexión digital adecuada con el proveedor de SaaS, [que] puede alimentar los datos de registro en su centro de operaciones de seguridad existente en tiempo real", añade John. "Esto promueve una visión holística y le permite extender sus capacidades de operaciones de seguridad en la nube".

3. Asegúrese de que es dueño de sus datos

Las empresas también deben prestar mucha atención a las políticas de privacidad, o a las condiciones de servicio que los proveedores se comprometen a no compartir información personal. "Aunque eso suena prometedor, es una omisión flagrante", señala Kayne McGladrey, estratega de seguridad cibernética de la empresa consultora de TI Ascent Solutions.

Es una bandera roja si el proveedor "no declara que el proveedor de SaaS no venderá los datos de su empresa o venderá datos agregados seudónimos sobre el uso del servicio por parte de su organización para 'investigación de mercado' o fines similares", anota McGladrey. Si no se especifica, confirme que el proveedor no revenderá sus datos.

4. Asegurarse de que el proveedor de SaaS cumple con las regulaciones relevantes

Otro motivo de preocupación es si la política de privacidad no incluye una declaración de cumplimiento con regulaciones específicas como la Regulación General de Protección de Datos (GDPR) o la Ley de Privacidad del Consumidor de California (CCPA), indica McGladrey. "Éstas están bien establecidas, y la omisión puede indicar que el proveedor de SaaS no está al día con las leyes y las tendencias reglamentarias", añade.

"El proveedor de SaaS debería ser franco sobre la soberanía de los datos y la localización opcional", añade McGladrey. "Aunque esto es particularmente importante para las organizaciones multinacionales que seleccionan soluciones SaaS, las organizaciones que se encuentran en una sola geografía probablemente querrán evitar situaciones incómodas, como que [la información personal] de los estadounidenses sea procesada y almacenada intencionalmente en un centro de datos extranjero".

5. Conocer el lugar donde se almacenan los datos

Desde el punto de vista de la seguridad, el cumplimiento y la privacidad, en última instancia se trata de los datos, anota Robert Walden, CIO de Epsilon, un proveedor de tecnología de marketing. "Comprender qué tipo de datos se almacenan o transportan a través de la solución SaaS, quién tiene acceso a los datos, quién es el propietario de los datos, cómo se protegen los datos y quién es responsable en caso de una violación de la seguridad" son todos importantes, indica Walden.

"Muchas empresas ni siquiera son conscientes del tipo de datos sensibles que se están almacenando inadvertidamente en las soluciones SaaS, o de quién tiene acceso a ellos", anota Walden. "Además, las empresas a menudo no entienden que si se ha ejecutado un acuerdo estándar de click-through durante la configuración de la solución SaaS, ese proveedor a menudo tiene derechos de propiedad sobre los datos".

6. Comprobar las disposiciones sobre pérdida o corrupción de datos

Desde el punto de vista de la protección de datos, muchas empresas no se dan cuenta de que, si bien un acuerdo de SaaS puede tener disposiciones de recuperación de desastres, esas disposiciones no cubren la pérdida de datos o la corrupción, señala Walden.

7. Involucrar la seguridad en el proceso de adquisición del SaaS

Un miembro del equipo de seguridad y riesgo siempre debe estar involucrado con el equipo de adquisiciones durante el proceso de adquisición, comenta Pinto. "El equipo de adquisiciones debería estar en sintonía con el equipo de seguridad y comprometerse con ellos para cuantificar los riesgos [durante] el proceso. La mayoría de los equipos de adquisiciones todavía no se dan cuenta de que la gestión de la identidad y el acceso es una especialidad".

Los equipos de seguridad de la información deben estar presentes en todos los debates clave para garantizar que se aborden los temas no técnicos con implicaciones para la seguridad de los datos, indica John. "En nuestra organización, las preocupaciones de seguridad cibernética no resueltas pueden potencialmente dejar al proveedor fuera de consideración".

8. Identificar los subservicios que utiliza el proveedor de SaaS

Entre los temas a tratar están las organizaciones de sub-servicios que el proveedor de SaaS podría estar utilizando. "Esto es crítico de abordar antes de que se firmen los contratos", indica John. "Esto puede tener un impacto en cualquier requisito de ubicación de almacenamiento de datos que su organización pueda tener".

Al evaluar los informes de seguridad SaaS, "será importante verificar que el alcance del informe incluya las ubicaciones y los sub-servicios que forman parte de su contrato", señala John. "Esto requiere una verificación cruzada del contrato y del informe de seguridad aplicable para asegurar una cobertura adecuada y la fiabilidad de los resultados de la auditoría".

Las deliberaciones también deberían abarcar el enfoque del proveedor de SaaS para garantizar el cumplimiento de la reglamentación. "Al abordar esto, es importante comprender qué características del proveedor apoyan el cumplimiento de las normas y cualquier actividad relacionada, como el descubrimiento electrónico, la privacidad de los datos y el informe de respuesta a incidentes", anota John.

9. Pruebe a fondo durante las pruebas gratuitas de SaaS

TI y Seguridad deberían probar las capacidades, incluyendo la capacidad máxima y el uso de sobretensión, durante una prueba gratuita de SaaS. "Debería haber varios administradores y superusuarios utilizando la herramienta al mismo tiempo, y durante las mismas ventanas al evaluar el rendimiento", comenta Pinto.

También, probar actividades concurrentes y multiproceso. "Los usuarios deberían ser conscientes de lo bien que responde el programa cuando están ocupados calculando o moviendo información y creando informes", agrega Pinto.

Como parte de las pruebas internas, "evalúe la capacidad de integrar sus procesos de seguridad clave con la solución del proveedor de SaaS", señala John. "Esto ayudará a determinar el nivel de esfuerzo que puede ser necesario y las proyecciones de costos para asegurar una seguridad adecuada, una vez que la solución se implemente".

10. Revisar las auditorías de terceros del proveedor de SaaS

Es importante solicitar y revisar los informes de auditoría de terceros más recientes del proveedor, incluyendo los resultados de las pruebas de penetración que confirmarán la idoneidad y eficacia de los controles de seguridad, indica John. "Solicitar pruebas de una certificación nacional o internacional también puede ser útil para determinar la madurez de los controles a nivel de empresa de la organización".

Volver al artículo principal