Las aplicaciones de software como servicio han sido durante mucho tiempo objetivos de ciberamenazasUn nuevo estudio revela que estas amenazas siguen siendo una preocupación principal para el 78 % de los líderes tecnológicos de EE. UU. a medida que más aplicaciones SaaS llegan a las empresas.
Si bien las empresas han priorizado la privacidad y la seguridad de los datos, su continua dependencia de las ofertas de SaaS y la nube significa que siguen en riesgo, según Informe sobre la disrupción del SaaS: seguridad y datos por Onymos y Enterprise Strategy Group.
Shiva Nathan, fundador y CEO de Onymos, dijo a TechRepublic que un riesgo significativo de esta dependencia es que cuando las empresas compran un sistema SaaS para acelerar el desarrollo de aplicaciones, deben otorgar acceso a los datos al proveedor de SaaS externo a cambio.
Otorgar este acceso podría dar lugar a ciberataques y fugas accidentales de datos. Esto podría ser especialmente problemático hoy en día, ya que la empresa promedio depende de más de 130 aplicaciones SaaS en comparación con solo 80 en 2020, explicó Nathan.
“Eso es un aumento del 62%”, dijo. “Cada uno de esos [SaaS apps] “Es una nueva superficie de ataque que pueden aprovechar actores maliciosos estatales y no estatales. Y lo están haciendo. La cantidad de ataques a la cadena de suministro de software está aumentando, especialmente contra la industria de la salud, que tuvo que cambiar a un modelo de atención virtual durante la COVID-19”.
Las entidades de atención médica han recurrido durante mucho tiempo a proveedores externos para que esa transición se lleve a cabo, agregó Nathan. Según el informe, otros sectores que dependen en gran medida de las aplicaciones SaaS incluyen:
- Gobierno.
- Logística y cadena de suministro.
- Fabricación.
- Minorista.
- Servicios bancarios y financieros.
- Educación.
Gartner predijo que el 45% de las organizaciones a nivel mundial habrán experimentado ataques a sus cadenas de suministro de software para 2025. El informe refuerza esta proyección, ya que casi la mitad (45%) de los líderes tecnológicos informan que experimentaron un incidente de ciberseguridad a través de una aplicación SaaS de terceros en el último año.
La importancia de la retención de datos
La encuesta, que extrajo información de 300 líderes de desarrollo de aplicaciones, TI y seguridad, también reveló que el 91 % de los encuestados enfatizó la importancia crítica de la retención de datos para aplicaciones internas creadas a medida, lo que refleja su importancia en sus prioridades de desarrollo de aplicaciones.
Nathan dijo que esta estadística le sorprendió porque estos “líderes tecnológicos reconocen lo crucial que es conservar sus datos, pero aún dependen mucho del SaaS. Claramente, existe una tensión dentro de estas organizaciones entre la velocidad de producción y la propiedad de los datos”, señaló. “Esa tensión siempre ha existido, pero está aumentando”.
Prioridades de los líderes de TI
Casi tres cuartas partes (72%) de los líderes encuestados destacaron la “seguridad” como una prioridad principal, seguido de cerca por el 65% que citó la “privacidad de datos”.
Estas prioridades también se reflejan en las asignaciones, responsabilidades y tareas de los proyectos de desarrollo de aplicaciones y software de las organizaciones, según el informe. Tres de las cinco prioridades principales fueron:
- Garantizar la privacidad de los datos (el 60% respondió que era una prioridad alta o máxima).
- Creación de aplicaciones seguras (el 49 % respondió que era una prioridad alta o la más alta).
- Mantener el control total sobre la propiedad de los datos (el 42% informó que era una prioridad alta o la más alta).
La encuesta también reveló que el 65% de las aplicaciones desarrolladas internamente son críticas para el negocio y solo el 36% de los líderes tecnológicos ejecutan todas sus aplicaciones en sus instalaciones o en nubes privadas.
Las aplicaciones SaaS requieren una mayor atención a su postura de seguridad
Con preocupaciones sobre la seguridad de los datos en niveles tan altos, las organizaciones necesitan reevaluar su modelo de negocios actual para aprovechar las ofertas de SaaS y de la nube, señala el informe de Onymos/ESG.
“Hoy en día, es muy común escuchar a los líderes tecnológicos hablar sobre sus ‘postura de seguridad“Tener una ‘postura de datos’ es igualmente importante”, enfatizó Nathan. “Esto incluye preguntar qué datos estás compartiendo con tus proveedores de SaaS para recibir su servicio; si realmente necesitan esos datos; qué están haciendo con ellos; y a dónde van.
“El auge de los productos y servicios de IA solo hace que responder estas preguntas sea más importante”, afirmó.
El informe formuló algunas recomendaciones, entre ellas un cambio significativo en las prácticas comunes actuales de SaaS y la nube mediante la adopción de principios de arquitectura “sin datos”, que priorizan la privacidad y la seguridad de los datos.
“Este tipo de arquitectura permite a las empresas conservar la propiedad y el control totales de sus datos, eliminando la necesidad de compartir o conceder acceso a proveedores de SaaS y de la nube de terceros y reduciendo el riesgo asociado”, afirma el informe. “Las empresas también deberían poder poseer y modificar el código asociado a las soluciones SaaS que utilizan para el desarrollo de sus aplicaciones y software”.
Esto permite a los equipos de ingeniería empresarial verificar y probar el código como si lo hubieran creado ellos mismos, afirma el informe de Onymos/ESG. “Con este enfoque, las organizaciones pueden tener plena confianza en la validez, la fiabilidad y la seguridad del código”, sostiene el informe.
Además, el departamento de TI debe priorizar y realizar periódicamente auditorías de seguridad y pruebas de penetración rigurosas por parte de terceros. “Estas pruebas deben incluir la comprensión de cómo fluyen los datos de la organización a través de diferentes aplicaciones y soluciones SaaS, de modo que se puedan mitigar los problemas de acceso y uso compartido de datos no deseados”, afirma el informe.
