El SaaS (Software as a Service) es un modelo de distribución de la tecnología en modo servicio que, en los últimos años, ha tenido un crecimiento exponencial. Con este modelo de consumición de la tecnología los clientes no solo se ahorran costes de mantenimiento de la infraestructura sino también, en muchos de los casos, de la operación y administración de la misma, no teniendo que preocuparse de actualizaciones o incidencias.
En este modelo, la seguridad del servicio es responsabilidad del proveedor de ese SaaS y, por tanto, desde nuestras organizaciones tenemos que asegurar que esta sea suficiente para que podamos almacenar nuestros datos en su SaaS.
Un poco de historia de la seguridad en proveedores
Haciendo un repaso, antes de la existencia del SaaS, los proveedores eran evaluados in-situ por auditores contratados por los clientes. Estos auditores, mediante un checklist basado en mejores prácticas, hacían una evaluación de la seguridad del proveedor. Este modelo todavía sigue estando vigente y en S3 también prestamos este servicio (Vendor Risk Assurance).
Este tipo de auditorías o revisiones de seguridad llegaban a ser numerosas para los proveedores de servicios con una gran cartera de clientes y, por tanto, consumía mucho tiempo de sus equipos de seguridad y TI internos. Es por ello que los proveedores comenzaron a apoyarse en otro tipo de auditorías basadas en estándares internacionales de seguridad. El principal estándar utilizado para demostrar compromiso con la seguridad es el informe ISAE 3402 SOC2.
El ISAE 3402 Service Organization Control 2 es un es un informe basado en los estándares de auditoría del instituto estadounidense de contables públicos certificados (AICPA). Este informe evalúa los sistemas de información de una organización que sean relevantes en 5 dominios: seguridad, disponibilidad, integridad, confidencialidad y privacidad. A través de este informe, se evalúan los controles que el proveedor tiene implementados para cumplir con los diferentes dominios. Este informe se comparte con los clientes o potenciales clientes para que comprueben el nivel de seguridad que tiene su servicio.
Durante los últimos años, el modelo SOC2 ha sido el predominante en el mercado, y aún continúa siéndolo. No obstante, centrándonos en el mundo SaaS, y tras las brechas de seguridad que se han producido en los últimos años en algunos SaaS, los clientes quieren dar un paso más y no solo fiarse del informe SOC2, sino tener información en tiempo real del estado de la seguridad del SaaS que han contratado. Es aquí donde aparece el término SaaS Security Posture Management (SSPM) o gestión de la postura de seguridad de SaaS.
¿Qué es SSPM?
Es una tipología de herramienta de seguridad que evalúa en tiempo real el estado de seguridad de los SaaS que una organización tiene contratados. Así de simple y así de complicado. Es similar a la tecnología CSPM, que ya os explicamos en este blog, centrada en el IaaS.
SSPM tiene cuatro pilares básicos:
- Visibilidad: mediante conectores que habilitan los proveedores SaaS, se puede tener una visión en tiempo real de la configuración de los entornos SaaS, pudiendo acceder a la configuración, parametrización o accesos al SaaS.
- Políticas: a través del SSPM, podremos definir una postura de seguridad, definiendo lo que es aceptable y lo que no mediante controles de seguridad. De manera que, automáticamente, cuando el SSPM escanee un SaaS, nos indicará si se están cumpliendo con dichos controles o no. Por ejemplo, imaginemos que para nuestra organización el MFA es obligatorio para todas las aplicaciones SaaS. Establecemos dicho control en el SSPM y nos identificará aquellos SaaS que no están cumpliendo con la política en tiempo real. De esta manera, seremos capaces de establecer un plan de remediación para dicha política.
- Alertas: SSPM evalúa automáticamente los permisos de los usuarios de tu organización y avisa en caso de detectar usuarios con demasiados privilegios o accesos que son potencialmente peligrosos.
- Remediación: existen workflows automáticos con algunos SaaS para poder realizar la remediación desde el propio SSPM a golpe de ratón. Es cierto que dependerá del grado de integración que facilite el SaaS, puesto que muchos SaaS son reticentes a facilitar acciones de remediación sobre la configuración. No obstante, esta situación está evolucionando y cada vez podemos ver cómo aumenta el número de SaaS que ceden control a sus clientes. Sin duda, los clientes lo van a demandar cada vez más y algunos SaaS van a tener que abrir en este sentido su parametrización de seguridad.
Algunos de los beneficios de SSPM incluyen:
- Visibilidad continua de violaciones de políticas en múltiples aplicaciones SaaS.
- Capacidad para realizar la corrección automatizada de configuraciones incorrectas.
- Cumplimiento de estándares comunes, incluidos CIS, SOC 2, PCI, NIST 800-53 o HIPAA.
- Configuración de los permisos de los usuarios: SSPM revisa lo que los usuarios tienen permitido hacer en las aplicaciones SaaS de la organización. Como parte de este proceso, algunas herramientas SSPM detectan las cuentas de usuario inactivas e innecesarias.
Conclusiones
Los SSPM son el siguiente paso en cuanto al control y supervisión que los clientes quieren realizar sobre sus proveedorse SaaS. Ya hemos sido partícipes de la evolución de un modelo de auditoría costoso para los proveedores a un modelo de informe SOC2 y, aun así, vemos que este modelo sigue siendo insuficiente para los proveedores más exigentes. Es por ello que, en los próximos años, veremos cómo el informe SOC2 convive con la tecnología SSPM.
