Las soluciones de software como servicio (SaaS) ofrecen una flexibilidad sin precedentes a cualquier empresa. Puede acceder a ellas en la nube cuando quiera y donde quiera. Permiten minimizar los gastos de hardware y ampliar y reducir la escala siempre que sea necesario. Por último, pueden integrarse fácilmente en un único flujo de trabajo. No obstante, a pesar de la creciente adopción de productos de software basados en la nube, persisten los problemas de seguridad del SaaS. En un estudio realizado en 2021, nada menos que el 98% de las empresas encuestadas había experimentado al menos un incidente de seguridad en los 18 meses anteriores.
Entonces, ¿significa esto que todas esas afirmaciones sobre la seguridad de los productos SaaS no son más que una exageración? Pues no es tan evidente. Este artículo le dará una comprensión básica de la naturaleza de los riesgos de seguridad de SaaS y cómo puede prevenirlos.
Los principales retos de la seguridad del SaaS en la nube
Actualmente, los entornos SaaS incluyen, en promedio, 42 aplicaciones de otros proveedores. Por un lado, tener la mayoría de los datos y procesos fuera de las instalaciones es extremadamente liberador para una empresa. Por otro, controlar tantas aplicaciones es un verdadero reto. Y de ahí surgen dos preocupaciones clave en materia de seguridad de los datos de SaaS: la falta de visibilidad y la insuficiente gestión de los accesos.
La falta de visibilidad
Según una encuesta, seis de cada diez propietarios de empresas consideran que la falta de visibilidad de sus entornos SaaS es uno de sus principales retos de ciberseguridad. Y no es sólo por el número de aplicaciones que tienen que vigilar. Cada una de estas aplicaciones viene con un conjunto individual de características de seguridad, configuraciones de acceso y políticas de privacidad, que cambian constantemente a medida que los proveedores actualizan sus productos. Por si fuera poco, no hay que olvidar la variedad de dispositivos desde los que se puede acceder a cada aplicación SaaS. Como resultado, los equipos de seguridad tienen poco conocimiento de los riesgos reales para los datos de la empresa.
Gestión de acceso insuficiente
Con las empresas completamente abrumadas por el número de aplicaciones de terceros en sus entornos en la nube, sólo el 12% de las empresas con 50-99 aplicaciones en su pila de SaaS realizan realmente comprobaciones semanales de desconfiguración. Si añadimos esto a la omnipresente dependencia de los proveedores de aplicaciones SaaS en términos de seguridad, queda claro por qué la gestión inadecuada de los accesos se considera otra de las principales amenazas a la seguridad por parte de la mayoría de las empresas: muchos equipos de seguridad no tienen una visión completa de quién accede a los datos de la empresa y de qué manera, o a qué tipo de datos se accede.
Juntos, estos dos problemas de control tienen el potencial de causar fugas masivas de datos, haciendo que sus sistemas sean más vulnerables a una variedad de amenazas cibernéticas, como el robo de cuentas, ataques de ransomware, campañas de phishing y amenazas internas. Ahora, echemos un vistazo a algunos casos y a las lecciones que se pueden aprender de ellos.
Incidentes de seguridad de SaaS y lo que pueden provocar
Seamos sinceros: para muchos de nosotros, todos esos resultados estadísticos no son más que un conjunto de símbolos y las advertencias de los expertos en ciberseguridad pueden parecer ajenas a nuestra propia situación. Sin embargo, nos guste o no, las fugas de datos y los ciberataques son reales. A continuación hemos destacado tres incidentes de ciberseguridad que se centran en (o al menos implican) aplicaciones SaaS que conoces y puedes utilizar.
Filtrado de datos global de Jira
En agosto de 2019, un investigador de seguridad descubrió que miles de empresas, incluida la NASA, filtraron involuntariamente algunos de sus datos en línea debido a una única configuración errónea en Jira.
Resultó que cuando creas tableros y filtros en Jira, la plataforma te permite elegir entre algunas configuraciones de permisos para saber quién puede ver estos detalles. Y ahí es donde empiezan los problemas. Algunos administradores asumen que "todos los usuarios" o "todo el mundo" significa "abierto a cualquier persona en la empresa", sin embargo, esto realmente significa que son visibles públicamente e indexados en los motores de búsqueda. Y lo que es peor, estas opciones son las que vienen por defecto.
Los investigadores de amenazas de Varonis revelaron que nada menos que 3.774 tableros de control, 244 proyectos y 75.629 problemas son de acceso público, y que la mayoría de estos activos han llegado a la web abierta de forma accidental. Los nombres de los proyectos, los avatares, los propietarios, los estados y los correos electrónicos de los usuarios son los activos de datos más comunes que se han filtrado de esta manera. Utilizando esta información, los atacantes pueden elaborar campañas de phishing, lanzar ataques de rociado de contraseñas o de relleno de credenciales, o dirigirse a sistemas aún más sensibles.
Ataque a la cadena de suministro de SolarWinds
A finales de 2020, el proveedor de seguridad FireEye informó de un ciberataque masivo contra SolarWinds - un destacado proveedor estadounidense de software de gestión de infraestructuras informáticas. Según su director general, Sudhakar Ramakrishna, los delincuentes entraron en la cuenta de Office 365 de la empresa, accedieron a las cuentas del personal de SolarWinds y las utilizaron para inyectar código malicioso en la actualización del software Orion del proveedor, que luego se envió a unos 18.000 clientes. Curiosamente, ni los investigadores de SolarWinds ni los de Microsoft detectaron ninguna vulnerabilidad en el código de Office 365 que pudiera ser explotada por los hackers. Ambos apuntan al robo de credenciales, más que a una vulnerabilidad.
El incidente tuvo lugar en 2019 y, según los especialistas en amenazas, ha afectado a más de 100 empresas privadas estadounidenses y a las redes de nueve agencias federales. Entre ellas se encuentran Microsoft, Cisco y Deloitte, así como el Pentágono, el Departamento de Seguridad Nacional y otras. Según un informe de IronNet de 2021, las empresas afectadas perdieron, de media, el 11% de sus ingresos anuales.
Miles de grabaciones de reuniones de Zoom disponibles en línea
Cuando la pandemia llegó, Zoom experimentó un aumento de popularidad sin precedentes, pasando de 90 millones de usuarios diarios en diciembre de 2019 a 200 millones en marzo de 2020. Aparte del aumento de la cotización de la empresa, esto ha desencadenado una ola de preocupaciones sobre la privacidad de datos.
Por ejemplo, en abril de 2020, los expertos descubrieron miles de grabaciones de reuniones privadas de Zoom en la web abierta, por lo que cualquiera podía verlas e incluso descargarlas. ¿Fue el resultado de una violación masiva de datos? En absoluto. El truco está en que Zoom permite a los usuarios guardar sus reuniones grabadas en el lugar que prefieran sin necesidad de contraseña. Esto se ve agravado por el hecho de que se puede guardar la grabación con su título por defecto, que es el mismo que el tema de la reunión electrónica. Como resultado, si guardas tu vídeo, por ejemplo, en los cubos S3 de Amazon Web Services (AWS), cualquiera puede encontrarlo mediante una simple búsqueda de almacenamiento en la nube.
Mejores prácticas de seguridad de SaaS
Según el Informe de la Encuesta de Seguridad de SaaS de 2021, el 89% de las empresas encuestadas informó de que las desconfiguraciones de SaaS eran una de las tres principales amenazas de ciberseguridad. Los investigadores descubrieron que esta era la principal fuente de problemas de ciberseguridad presentada en el informe.
En otras palabras, no es que las aplicaciones SaaS tengan fallos de seguridad inherentes, sino que la forma en que utilizamos estas aplicaciones es la causa principal de los percances de seguridad del software como servicio. Un artículo sobre la seguridad en la nube afirma que en 2025 hasta el 99% de los incidentes de ciberseguridad serán simplemente culpa del cliente. Entonces, ¿cómo puede garantizar la seguridad de sus aplicaciones SaaS? Esto es lo que recomendamos.
Evalúe todos sus riesgos
En los entornos "cloud-first", la mayoría de las aplicaciones (si no todas) están integradas en un único ecosistema. Dicho esto, debe auditar regularmente cada aplicación en términos de cumplimiento, restricciones de acceso disponibles, el nivel de protección contra los intentos de piratería, etc. Esto le permitirá definir y evaluar todos los riesgos que cada aplicación supone para su entorno de nube.
Automatiza todo lo que puedas
No se puede negar que la supervisión continua de un gran número de aplicaciones de terceros es una tarea de enormes proporciones; esa es una de las razones por las que muchas organizaciones no consiguen controlar todas sus aplicaciones y detectar los problemas a tiempo. Para asegurarse de que nada se escapa, te recomendamos encarecidamente que eches un vistazo a las herramientas de automatización, como las soluciones SaaS Security Posture Management (SSPM). Pueden hacer el trabajo por ti.
Evites los errores de configuración
Muchos especialistas coinciden en que las configuraciones erróneas -en particular la mala gestión de los accesos, su variedad clave- suponen un grave riesgo de ciberseguridad del SaaS. Para mitigarlo, asegúrate de sacar el máximo partido a la configuración de seguridad de cada aplicación. ¿Hay autenticación multifactor? Actívala. ¿Tú aplicación permite varios niveles de permisos de acceso a los usuarios? Analiza quién va a utilizar la herramienta y configura los permisos en consecuencia.
Adopta la política de acceso de mínimo privilegio
Reduce al máximo el número de usuarios que pueden acceder a tus datos corporativos. Siga la regla general: si una determinada restricción de acceso de los usuarios no afecta negativamente a su flujo de trabajo, siga con ella. Esto ayudará a evitar incidentes similares al que enfrentaron los usuarios de Jira.
Aplica las normas
La gente tiende a ser descuidada con los datos corporativos. DoControl descubrió que el 20% de todos los activos corporativos de SaaS se comparten internamente con un enlace y el 18% externamente, exponiendo los datos a usuarios no autorizados. El desarrollo de normas de uso de aplicaciones para guiar a tu personal ayudará a minimizar fugas de datos como estas.
Educa a tu personal
Las actitudes laxas hacia los activos de la empresa también podrían derivar del hecho de que algunos empleados quizá no estén formados en cómo gestionar los datos de forma responsable, o no sean conscientes de la necesidad de hacerlo. Un programa formal de concienciación sobre la seguridad con sesiones de formación periódicas solucionará este problema. También reducirá el riesgo de ataques realizados con la ayuda de técnicas de ingeniería social.
Evita el exceso de provisiones
Los entornos SaaS modernos están "superpoblados". Las investigaciones demuestran que más de la mitad de las aplicaciones de una pila media de SaaS no se han utilizado en más de seis meses. Tener tantas aplicaciones que podrían contener datos sensibles es un riesgo poco razonable. Por lo tanto, deshágase del exceso de aplicaciones siempre que se detecte.
Analiza cuidadosamente cada aplicación antes de incorporarla a tu pila
Mientras más aplicaciones tengas, más expondrás tus datos a riesgos de ciberseguridad. Por lo tanto, sea muy exigente con todas y cada una de las aplicaciones que piensa utilizar en su empresa. Las siguientes preguntas te ayudarán a filtrar los proveedores poco fiables:
- ¿El diseño del sistema de control de acceso permite prevenir problemas de seguridad en la red?
- ¿Contienen los ajustes de acceso varios niveles de restricciones de acceso de los usuarios?
- ¿Necesita cumplir con las regulaciones, como GDPR o HIPPA (o cualquier otra regulación relevante para su caso)?
- ¿Está preparado para realizar controles de ciberseguridad externos?
- ¿Tiene alguna certificación de ciberseguridad, como la ISO?
- ¿Pueden sus clientes controlar dónde se almacenan sus datos?
- ¿Dónde almacenas los datos de la app? ¿Es con un proveedor de nube prominente, como AWS, o un centro de datos privado?
- ¿Encriptas los datos en transición y en reposo?
- ¿Cuánto tiempo conservas los datos en tu app antes de eliminarlos?
- ¿Cómo evitas que los datos del usuario se pierdan en un desastre natural?
Esta es la lista de comprobación básica de la seguridad del SaaS, y puede que sean necesarias otras consideraciones para tu negocio en particular. Pero aquí viene el siguiente reto. Por ejemplo, te has dado cuenta de que tu actual plataforma de atención al cliente tiene numerosas vulnerabilidades de seguridad y quiere cambiar a una opción más segura. Entonces, la pregunta es: ¿existe una forma segura de migrar tus datos fácilmente de una plataforma a otra? Encuentre la respuesta a continuación.
Cómo Help Desk Migration se mantiene alejada de los riesgos de ciberseguridad
Si deseas migrar los datos de tu mesa de asistencia de forma segura, no es necesario buscar en Internet un proveedor de migración de datos de confianza. Simplemente deja que nuestra solución automatizada de migración de datos - Help Desk Migration - haga el trabajo por ti de forma segura. Estos son algunos de los estándares de seguridad de SaaS que seguimos para salvaguardar sus datos.
Medidas técnicas
En Help Desk Migration, creemos firmemente que la seguridad de una aplicación en cuanto a tu diseño es responsabilidad exclusiva del proveedor. La migración de datos de help desk con nuestro servicio es segura gracias a las siguientes medidas:
- Protección del acceso de los empleados. Todos los dispositivos que utilizan nuestros empleados para acceder a nuestro servicio están encriptados (para que ningún curioso pueda leerlos), ninguno de ellos puede iniciar sesión en nuestras aplicaciones web sin la autenticación de dos factores. Además, los administradores de la plataforma de migración del servicio de asistencia, así como los empleados remotos, utilizan una Cloudflare WARP. Además, sólo los ingenieros técnicos autorizados pueden acceder al código fuente, implementar la migración personalizada y resolver los problemas técnicos a petición del equipo de soporte.
- Política de retención de datos. Eliminamos todos los datos de la migración diez días después de la Migración Demo y cinco días después de la Migración Completa (podemos acortar o prolongar el periodo de retención a petición tuya). Y no almacenamos las contraseñas de los clientes.
- Protección del entorno de producción. Vamos más allá para garantizar que nuestro equipo de desarrollo pueda trabajar en nuestro servicio en un entorno protegido. Esto incluye una serie de medidas, como el intercambio de claves públicas/privadas en lugar de contraseñas para acceder a los servidores, la autenticación de dos factores para el panel de administración, la configuración estricta del firewall, etc.
- Infraestructura. Toda nuestra infraestructura se encuentra en Alemania y está alojada en AWS. Instalamos y gestionamos todos los silos de datos dentro de esta infraestructura, excepto las copias de seguridad almacenadas por AWS S3. Además, somos muy particulares la seguridad física de nuestros servidores y servicios.
- Protección de los datos en tránsito y en reposo. Nuestra red privada está fuertemente asegurada con cortafuegos, protecciones anti-DDoS y evaluaciones periódicas de la situación de la red. El cifrado SSL protege los datos que circulan por Internet. También utilizamos el cifrado de disco para salvaguardar los datos estáticos, de modo que sólo los usuarios autorizados puedan leerlos.
Medidas de organización
Aunque nuestro servicio es seguro por diseño, tomamos una serie de medidas organizativas para eliminar la más mínima posibilidad de filtración. Entre ellas se encuentran:
- Confidencialidad. Antes de incorporarse, todos nuestros empleados firman una cláusula especial en el contrato de trabajo, que les obliga a no revelar ninguna información confidencial asociada al servicio de migración del Help Desk.
- Continuidad del negocio.
- Nos comprometemos a prestar nuestros servicios durante al menos seis meses.
- Auditorías de seguridad. Analizamos periódicamente nuestros sistemas en busca de vulnerabilidades y realizamos actualizaciones cuando es necesario.
- Recuperación de desastres. Tomamos todas las medidas necesarias para que sus datos permanezcan intactos después de un desastre natural.
- Segregación de funciones (SoD). Para minimizar los riesgos, nos adherimos a las políticas de SoD. Esto significa que en lugar de dar a un solo empleado el control total de un determinado proceso, dispersamos esta función entre varios miembros del equipo.
Características de seguridad
Y, por supuesto, ninguna solución SaaS fiable está completa sin una variedad de configuraciones de seguridad, que permitan a los usuarios beneficiarse de una protección completa. Cuando se trata del Help Desk Migration, estas incluyen:
- Autenticación de dos factores. Nuestro procedimiento de inicio de sesión no se limita a la combinación tradicional de contraseña y correo electrónico. Recomendamos activar la autenticación de dos factores para aumentar la seguridad.
- Supervisión del acceso. En el Asistente de Migración -nuestra herramienta que permite personalizar la estructura de datos- se almacena toda la actividad de los usuarios. Puedes ver la dirección IP, los datos del dispositivo y la hora del inicio de sesión.
También recomendamos a nuestros usuarios que cambien sus contraseñas y restrinjan los permisos de acceso que se nos conceden para mover sus datos cinco días después de la migración. Si crees que has detectado una vulnerabilidad, siempre estaremos encantados de discutirlo.
Cumplimiento
Nos enorgullecemos de nuestra amplia cartera de cumplimientos, que mantenemos actualizada y ampliamos a menudo. Por el momento, nos adherimos a HIPAA, EU GDPR, ISO/IEC 27001:2013 y PCI DSS.
Este es un breve resumen de cómo garantizamos la seguridad de la migración de datos. Si quieres saber más sobre las medidas que tomamos para proteger tus datos, puedes echar un vistazo a nuestra página de Política de Seguridad, familiarizarte con nuestro Acuerdo de Nivel de Servicio o pedirnos que rellenemos un cuestionario de seguridad.