Comprender la seguridad de SaaS para DevOps
- Gestión de apps
Gartner pronosticó que el gasto en servicios de nube pública alcanzaría los 396.000 millones en 2021 y aumentaría un 22 % para llegar a 482.000 millones en 2022. Las aplicaciones SaaS basadas en la nube se han disparado y el mercado crece un 18 % cada año; El 99 % de las organizaciones utilizará una o más aplicaciones SaaS para finales de este año.
¿Qué significa esto para la seguridad, especialmente para la seguridad de la información de identificación personal (PII) y los datos comerciales en la empresa? Los datos de SaaS incluyen, pero no se limitan a, PII confidencial de los clientes e información de pago; cada vez más, las aplicaciones SaaS también albergan información empresarial de misión crítica, incluidos planes de productos, información de patentes, procesos comerciales y operativos y registros de recursos humanos.
La gran cantidad de datos almacenados en las aplicaciones SaaS presenta enormes riesgos y costos de seguridad para las organizaciones a nivel mundial. El coste promedio de una filtración de datos superó los 4,2 millones, la mayor cantidad en los 17 años de historia del informe “Coste de una filtración de datos”, y casi la mitad de las infracciones involucraron PII comprometida, el tipo de registro más costoso de perder, con un registro robado de 180 —un aumento de 146 por registro en 2020.
SaaS ofrece nuevas formas de hacer negocios, pero presenta un riesgo significativo
Algunas empresas van demasiado rápido cuando se trata de SaaS, DevOps y seguridad, pero los desarrolladores e implementadores inteligentes respetarán algunas pautas básicas para mantener su producto seguro. Lo mismo ocurre con otras plataformas y soluciones de software SaaS.
Las soluciones de prueba de seguridad de aplicaciones de uso general no están diseñadas para entornos de software SaaS y, a menudo, ralentizan los procesos de DevOps y carecen de la visibilidad necesaria en los entornos SaaS. En su lugar, el mosaico de herramientas debe ser reemplazado por un enfoque de integración continua e implementación continua (CI/CD). Los pasos específicos incluyen:
- Compruebe todas las bibliotecas locales y remotas. Solo al verificar las configuraciones y los controles de acceso, que se enfocan principalmente en las amenazas internas, se pierden las vulnerabilidades de las aplicaciones del desarrollo personalizado o las descargas de aplicaciones que podrían abrir sus servicios SaaS a los actores de amenazas externos.
- Compruebe de forma cuidadosa y rutinaria las bibliotecas de software de terceros. Si solo está probando el código fuente e ignorando las bibliotecas de software de terceros, solo está asegurando la mitad de la superficie de ataque de su aplicación de software. Los CVE se informan públicamente todos los días sobre las bibliotecas de software de código abierto de uso común, lo que muestra a los atacantes una ruta directa para comprometer esos componentes clave. Ejecutar un análisis de composición de software (SCA) con regularidad para verificar todas sus bibliotecas agrupadas localmente y con referencias remotas es un paso clave para lograr una cadena de suministro de software segura.
- No asuma que está protegido contra vulnerabilidades comunes. Las pruebas de seguridad de aplicaciones estáticas (SAST) a menudo pueden perder secuencias de comandos entre sitios (XSS) o ataques de inyección SOQL/SOSL en plataformas SaaS.
Al identificar las vulnerabilidades de seguridad de manera más rápida y precisa, las nuevas herramientas de seguridad SaaS pueden permitir que las organizaciones obtengan los beneficios prometidos de DevOps con una mejor visibilidad.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.