En los negocios, no es raro adoptar un enfoque de software como servicio (SaaS). Tiene sentido: no hay necesidad de lidiar con la infraestructura, la administración, los parches y el fortalecimiento. Simplemente enciendes la aplicación SaaS y la dejas hacer lo suyo. Pero este enfoque tiene algunas desventajas. El problema con SaaS Si bien SaaS tiene muchos beneficios, también presenta una serie de nuevos desafíos, muchos de los cuales no reciben la cobertura que merecen. En la parte superior de la lista de desafíos está la seguridad. Por lo tanto, si bien SaaS tiene algunos beneficios muy reales, también es importante reconocer el riesgo de seguridad que conlleva. Cuando hablamos de seguridad SaaS, generalmente no nos referimos a la seguridad de la plataforma subyacente, sino más bien a cómo la usamos. Recuerde, no es usted, soy yo. El modelo de responsabilidad compartida En los términos y condiciones de la mayoría de las plataformas SaaS se encuentra el «modelo de responsabilidad compartida». Lo que suele decirse es que el proveedor de SaaS es responsable de proporcionar una plataforma que sea robusta, resistente y fiable, pero no se hace responsable de cómo la utiliza y la configura. Y es en estos cambios de configuración donde reside el desafío de la seguridad. Las plataformas SaaS suelen venir con múltiples opciones de configuración, como formas de compartir datos, formas de invitar a usuarios externos, cómo los usuarios pueden acceder a la plataforma, qué partes de la plataforma pueden utilizar, etc. Y cada cambio de configuración, cada perilla de nerd que se gira, es el potencial de alejar a la plataforma de su configuración de seguridad óptima o introducir una capacidad inesperada. Si bien algunas aplicaciones, como Microsoft 365, ofrecen orientación sobre la configuración de seguridad, esto no es cierto para todas ellas. Incluso si lo hicieran, ¿qué tan fácil es administrar eso cuando llegas a 10, 20 o incluso 100 aplicaciones SaaS? Demasiadas aplicaciones ¿Sabes cuántas aplicaciones SaaS tienes? El problema no son las aplicaciones SaaS que conoces, sino las que no conoces. Debido a que SaaS es tan accesible, puede evadir fácilmente la administración. Hay aplicaciones que la gente usa pero que una organización puede no conocer, como la aplicación que el equipo de ventas se registró, esa que usa el departamento de marketing y, por supuesto, todos quieren una aplicación GenAI con la que jugar. Pero estas no son las únicas; también están las aplicaciones que forman parte de las plataformas SaaS a las que se suscribe. Sí, incluso las que conoce pueden contener aplicaciones adicionales que no conoce. Así es como una empresa promedio llega a más de 100 aplicaciones SaaS. ¿Cómo administra cada una de ellas? ¿Cómo se asegura de saber que existen y que están configuradas de una manera que cumple con las buenas prácticas de seguridad y protege su información? Ahí radica el desafío. Presentar SSPM SSPM puede ser la respuesta. Está diseñado para integrarse inicialmente con sus aplicaciones SaaS administradas para brindar visibilidad sobre cómo están configuradas, dónde las configuraciones presentan riesgos y cómo abordarlos. Las monitoreará continuamente para detectar nuevas amenazas y cambios de configuración que introduzcan riesgos. También descubrirá aplicaciones SaaS no administradas que estén en uso, evaluará su postura y presentará perfiles de riesgo tanto de la aplicación como del proveedor de SaaS en sí. Centraliza la gestión y seguridad de una infraestructura SaaS y donde su gestión y configuración presentan riesgo. Superposición con CASB y DLPExiste cierta superposición en el mercado, particularmente con el agente de seguridad de acceso a la nube (CASB) y las herramientas de prevención de pérdida de datos (DLP). Pero estas herramientas son un poco como capturar al ladrón mientras corre por la entrada, en lugar de asegurarse de que las puertas y ventanas estaban aseguradas en primer lugar. SSPM es otra herramienta de seguridad que hay que gestionar y pagar. Pero ¿es una herramienta que necesitamos? Bueno, eso depende de usted; sin embargo, nuestro uso de SaaS, a pesar de todos los beneficios que aporta, ha traído consigo una nueva complejidad y un nuevo conjunto de riesgos. Tenemos muchas más aplicaciones de las que hemos tenido nunca, muchas de ellas no las gestionamos de forma centralizada, y tienen muchos botones de configuración que girar. Sin la supervisión de todas ellas, corremos riesgos de seguridad. Próximos pasos La gestión de la postura de seguridad de SaaS (SSPM) es otra entrada en el creciente catálogo de herramientas de gestión de la postura de seguridad. Suelen ser fáciles de probar y muchas ofrecen evaluaciones gratuitas que pueden darle una idea de la magnitud del desafío al que se enfrenta. La seguridad de SaaS es complicada y, a menudo, no recibe la cobertura que merece, por lo que puede resultar útil hacerse una idea de su situación. Antes de que se encuentre en el lado equivocado de un incidente de seguridad y su proveedor de SaaS le diga que es usted, no yo, puede que valga la pena ver lo que una herramienta SSPM puede hacer por usted. Para obtener más información, eche un vistazo a los informes de criterios clave y radar de SSPM de GigaOm. Estos informes proporcionan una descripción general completa del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en relación con esos criterios de decisión. Si aún no es suscriptor de GigaOm, regístrese aquí.