Reduciendo riesgos de seguridad en un proyecto SaaS

Si es el líder de una compañía que todavía utiliza sus aplicaciones empresariales en servidores propios, es posible que se haga preguntas como por ejemplo, cómo el proveedor de Cloud SaaS protegerá los datos de mi empresa en caso que mueva mi aplicación a una solución como tal. Además de las discusiones sobre si los “Datos son el nuevo petróleo” o no, para usted, CIO, el activo más valioso que debe proteger son sus datos.

Photo by Hack Capital on Unsplash

La seguridad de los datos se ha convertido en una preocupación de toda la empresa -no solo el director de IT, y cada vez más líderes empresariales están siendo llamados para ayudar a mejorar la ciberseguridad e identificar amenazas. En una encuesta reciente entre directores financieros, el 74% tenía preocupación con la seguridad de datos, y el 53% dijo que tenía intranquilidad con la privacidad y pérdida de datos.

En una conversación reciente que tuve con el Director Financiero de una empresa multinacional con operaciones en más de 12 países en LATAM, me dijo que uno de los aspectos más críticos de la selección de una nueva solución Cloud SaaS es la seguridad. Esto se alinea con algunos de los resultados de una encuesta reciente de Forbes Insights y VMware, que cuantifican la pérdida promedio sufrida por una sola violación de seguridad cibernética cercana a los $ 4 millones por incidente.

Desafíos de pasar a Cloud SaaS

A pesar de los muchos beneficios, hay algunas cosas que debe considerar antes de pasar a una solución SaaS:

el cambio no es sencillo
  • Resistencia al cambio: no importa cuál sea el tamaño o la complejidad de su organización, las implementaciones de Cloud SaaS son complicadas. Requieren desarrollar un plan para la gestión del cambio que pueda aliviar los temores de sus empleados sobre el cambio a una solución Cloud SaaS.
  • Limitaciones en la creación de personalizaciones: la batalla de la estandarización frente a la personalización en aplicaciones Cloud SaaS es constante, y no hay un ganador. Debido a las plataformas inteligentes proporcionadas por los proveedores de la nube, ahora es mucho más configurable y, a través de técnicas de desarrollo rápido, podría ser más fácil de adoptar. Pero dado el hecho de que las nuevas versiones e innovadoras características que se proporcionan en una frecuencia trimestral o incluso más corta, entonces la creación de personalizaciones adicionales se convierte en un factor de riesgo para influir en el cálculo del ROI.
  • Seguridad: la mayoría de los principales proveedores de Cloud SaaS garantizan excelentes estándares de seguridad, pero las organizaciones que los utilizan aún necesitan agregar controles en torno a la seguridad. Extender la funcionalidad a través de personalizaciones agrega vulnerabilidades que necesitan restricciones adicionales. Algunos de estos controles que las organizaciones deberían implementar incluyen evaluaciones de vulnerabilidad, monitoreo, seguridad en las interfaces de datos y conexiones seguras.

Asegurar su SaaS no es solo una responsabilidad del proveedor de la nube.

Asegurar su solución SaaS no es solo responsabilidad de los proveedores de Cloud sino también suya. Como se mencionó anteriormente, la mayoría de los proveedores Cloud SaaS tienen altos estándares de seguridad. Sin embargo, las organizaciones que trabajan en ellos aún necesitan implementar controles adicionales en torno a la seguridad y la visibilidad, tal como lo harían si estuvieran ejecutando esas aplicaciones en las instalaciones.

la responsabilidad no es solo del proveedor

¿Cuáles son los aspectos de seguridad de Cloud SaaS para prestar especial atención?

De acuerdo con el “Estado de la seguridad de la planificación de recursos empresariales en la nube” de Cloud Security Alliance (CSA), es fundamental comprender y evaluar todos los factores de riesgo relacionados con la migración, el aprovisionamiento y el consumo de Cloud SaaS.

3 consideraciones principales para pasar a una solución Cloud SaaS

Una “violación de datos” podría afectar las operaciones comerciales y tener graves repercusiones para la organización, incluida publicidad adversa, informes negativos de analistas y hasta la disminución en los precios de las acciones. Mantener segura la información confidencial de los empleados y clientes debe ser una prioridad, no solo para los CIO sino también para todos los líderes de cada unidad de negocios. Por lo tanto, los directores de tecnología deben trabajar con las partes interesadas de la empresa para crear un proceso sobre cómo TI y el negocio pueden trabajar juntos para garantizar la seguridad en la nube.

1. Desarrollar una estrategia de seguridad y gobernanza

Desarrolle un enfoque donde la seguridad de los datos sea responsabilidad de todos en la organización. Se requiere trabajar con los ejecutivos y todos los empleados involucrados para establecer un marco de gobierno de datos y definir estándares de seguridad. Los sistemas Cloud SaaS integran datos en toda la organización, por lo que es probable que varios equipos tengan acceso a datos confidenciales. Las capacidades de autoservicio de las soluciones Cloud SaaS significan que los usuarios pueden acceder a los datos y generar informes, en otras palabras, todos tienen más acceso del que es típico para las aplicaciones internas. Mejorar el acceso a los datos es esencial para impulsar el crecimiento y la innovación, por lo que restringir el acceso a los datos no es la solución, sino a través desde una mejor seguridad y gobierno de datos.

Las prácticas de gobernanza eficaces también lo ayudan a lograr el cumplimiento legal y a garantizar que tenga una visibilidad completa de su negocio y los procesos de selección de una solución Cloud SaaS desde una perspectiva de seguridad de datos.

2. Asegure sus integraciones

Cloud SaaS ofrece un alcance limitado para la personalización, pero en cambio brinda la flexibilidad para integrar varias aplicaciones en un solo sistema unificado. La seguridad de estas integraciones es crítica, por lo que se recomienda asignar interfaces y API entre las aplicaciones de Cloud SaaS de forma rutinaria. La información transmitida entre estos sistemas puede ser vulnerable a las violaciones de seguridad. Las empresas deben realizar evaluaciones de vulnerabilidad periódicas de las configuraciones de Cloud SaaS y fortalecer los cifrados de datos, para evitar que los hackers descifren los datos en caso de que alguna vez tengan acceso a ellos. Si los datos son de misión crítica, tenga un plan de contingencia que especifique cómo se recuperarán los mismos en caso de una falla de seguridad o falla tecnológica.

seguridad en integraciones

Otra área que aumentará la integración es la adopción de Internet de las cosas (IoT). Gartner estima que para 2020, más de 26 mil millones de dispositivos IoT estarán conectados a Internet, y para 2024 al menos el 50% de las aplicaciones empresariales en producción estarán habilitadas para IoT. Los dispositivos IoT se comunican con otros dispositivos conectados a Internet, lo que los convierte en objetivos principales para los hackers que buscan acceso a múltiples fuentes de datos. Los dispositivos IoT también son objetivos fáciles porque la mayoría de las organizaciones no tienen medidas de seguridad adecuadas para ellos. Puede hacer que los dispositivos IoT sean más seguros mediante la implementación de una plataforma de administración de dispositivos IoT, que permite acceder a sus herramientas, controlar el estado de forma segura, detectar y resolver problemas e instalar actualizaciones de software en todos sus dispositivos IoT.

3. Solución Cloud SaaS actualizada y con parches regulares

En un mundo en constante cambio, los proveedores de Cloud SaaS se están preparados para ofrecer la última novedad a su conjunto de productos antes que nadie. Eso significa que quieren anunciar lo último y lo mejor del mercado, y la seguridad a menudo ocupa el segundo lugar. Elegir el proveedor adecuado de Cloud SaaS ayudará a mitigar este riesgo, pero también estos proveedores proactivos identificarán amenazas o vulnerabilidades casi a diario cuando lo aborden en forma de parche de seguridad o actualización de software. Las actualizaciones de software son, por lo tanto, importantes para proteger sus datos de posibles amenazas.

Conclusión

Las soluciones Cloud SaaS ofrecen tantos beneficios haciendo que la integración sea mucho más fácil. Las empresas pueden aumentar la eficiencia operativa, así como la reducción de costos, entre otros beneficios financieros. La agilidad mejorada para implementar operaciones nuevas o extensivas hace que su departamento de TI sea más flexible para obtener resultados más rápidos. Sin embargo, la seguridad no es solo una preocupación del proveedor de la nube. Requiere la atención de todos y la adopción de medidas rápidas para identificar cualquier asunto de seguridad por adelantado y actuar sobre la seguridad de su activo más valioso, que son sus datos.