Las aplicaciones de software como servicio han sido durante mucho tiempo blanco de ciberamenazas. Un nuevo estudio revela que estas amenazas siguen siendo una prioridad para el 78 % de los líderes tecnológicos de EE. UU. a medida que más aplicaciones SaaS se abren camino en la empresa. Aunque las empresas han priorizado la privacidad y la seguridad de los datos, su continua dependencia de las ofertas de SaaS y la nube significa que siguen estando en riesgo, según el informe The SaaS Disruption Report: Security & Data de Onymos y Enterprise Strategy Group. Shiva Nathan, fundador y CEO de Onymos, dijo a TechRepublic que un riesgo significativo de esta dependencia es que cuando las empresas compran un sistema SaaS para acelerar el desarrollo de aplicaciones, deben otorgar acceso a los datos al proveedor de SaaS externo a cambio. Otorgar este acceso podría dar lugar a ciberataques y fugas accidentales de datos. Esto podría ser particularmente problemático hoy en día, ya que la empresa promedio depende de más de 130 aplicaciones SaaS en comparación con solo 80 en 2020, explicó Nathan. «Eso es un aumento del 62 %», dijo. «Cada una de esas aplicaciones SaaS es un 62 % más que las de 2020». [SaaS apps] es una nueva superficie de ataque para que los actores maliciosos estatales y no estatales la exploten. Y la están explotando. La cantidad de ataques a la cadena de suministro de software está aumentando, especialmente contra la industria de la salud, que tuvo que cambiar a un modelo de atención virtual durante COVID-19”. Las entidades de atención médica han dependido durante mucho tiempo de proveedores externos para que esa transición se produzca, agregó Nathan. Según el informe, otros sectores que dependen en gran medida de las aplicaciones SaaS incluyen: Gobierno. Logística y cadena de suministro. Fabricación. Venta minorista. Banca y servicios financieros. Educación. Gartner predijo que el 45% de las organizaciones a nivel mundial habrán experimentado ataques a sus cadenas de suministro de software para 2025. El informe refuerza esta proyección, ya que casi la mitad (45%) de los líderes tecnológicos informaron que experimentaron un incidente de ciberseguridad a través de una aplicación SaaS de terceros en el último año. La importancia de la retención de datos La encuesta, que extrajo información de 300 líderes de desarrollo de aplicaciones, TI y seguridad, también reveló que el 91% de los encuestados enfatizó la importancia crítica de la retención de datos para aplicaciones internas personalizadas, lo que refleja su prominencia en sus prioridades de desarrollo de aplicaciones. Nathan dijo que esta estadística le sorprendió porque estos «líderes tecnológicos reconocen lo crucial que es retener sus datos, pero aún dependen tanto de SaaS. Claramente existe tensión dentro de estas organizaciones entre la velocidad de producción y la propiedad de los datos», señaló. «Esa tensión siempre ha existido, pero está aumentando». Cobertura de seguridad de lectura obligada Prioridades de los líderes de TI Casi tres cuartas partes (72%) de los líderes encuestados destacaron la «seguridad» como una prioridad principal, seguido de cerca por el 65% que citó la «privacidad de los datos». Estas prioridades también se reflejan en las asignaciones de proyectos, responsabilidades y tareas en los proyectos de desarrollo de software y aplicaciones de las organizaciones, según el informe. Tres de las cinco prioridades principales fueron: Garantizar la privacidad de los datos (el 60% informó que era una prioridad alta o máxima). Crear aplicaciones seguras (el 49% informó que era una prioridad alta o máxima). Mantener el control total sobre la propiedad de los datos (el 42% informó que era una prioridad alta o máxima). La encuesta también reveló que el 65% de las aplicaciones desarrolladas internamente son críticas para el negocio, y solo el 36% de los líderes tecnológicos ejecutan todas sus aplicaciones en las instalaciones o en nubes privadas. Las aplicaciones SaaS requieren una mayor atención a su postura de seguridad Con las preocupaciones sobre la seguridad de los datos en niveles tan altos, las organizaciones necesitan reevaluar su modelo de negocio actual para aprovechar las ofertas de SaaS y la nube, según el informe de Onymos/ESG. “Hoy en día, es muy común escuchar a los líderes tecnológicos hablar sobre su ‘postura de seguridad’; tener una ‘postura de datos’ es igualmente importante», enfatizó Nathan. “Esto incluye preguntar qué datos está compartiendo con sus proveedores de SaaS para recibir su servicio; si realmente necesitan esos datos; qué están haciendo con ellos; y a dónde van. “El auge de los productos y servicios de IA solo hace que responder a estas preguntas sea más importante”, dijo. El informe hizo algunas recomendaciones, incluido un cambio significativo en las prácticas comunes actuales de SaaS y la nube al adoptar principios de arquitectura «sin datos», que priorizan la privacidad y la seguridad de los datos. “Este tipo de arquitectura permite a las empresas conservar la propiedad y el control totales de sus datos, eliminando la necesidad de compartir o conceder acceso a proveedores de SaaS y de la nube de terceros y reduciendo el riesgo asociado”, afirma el informe. “Las empresas también deberían poder poseer y modificar el código asociado a las soluciones SaaS que utilizan para el desarrollo de sus aplicaciones y software”. Esto permite a los equipos de ingeniería empresarial verificar y probar el código como si lo hubieran creado ellos mismos, afirma el informe de Onymos/ESG. “Con este enfoque, las organizaciones pueden tener plena confianza en la validez, la fiabilidad y la seguridad del código”, sostiene el informe. Además, el departamento de TI debería priorizar y realizar periódicamente auditorías de seguridad y pruebas de penetración rigurosas de terceros. “Estas pruebas deberían incluir la comprensión de cómo fluyen los datos de la organización a través de diferentes aplicaciones y soluciones SaaS para que se puedan mitigar los problemas de acceso y uso compartido de datos no deseados”, afirma el informe.