A medida que las empresas incorporan cada vez más los modelos SaaS, IaaS y otras aplicaciones en sus entornos y procesos, algunas organizaciones desconocen el papel que desempeñan en la protección de los datos confidenciales.
Esto puede dar lugar a deficiencias significativas en la pila de seguridad de una organización cuando dependen únicamente de los proveedores de SaaS para proteger su información.
La determinación de qué aspectos de la seguridad es responsable una organización frente a cuáles están bajo el dominio de la aplicación SaaS se conoce como el modelo de responsabilidad compartida.
Los equipos de seguridad deben comprender este modelo para mitigar los riesgos de las principales ciberamenazas actuales y proteger su información confidencial.
¿Qué es un modelo de responsabilidad compartida?
El modelo de responsabilidad compartida responsabiliza a los proveedores de SaaS de proteger la infraestructura y proporcionar una solución de alta disponibilidad. El consumidor es responsable de proteger y asegurar sus datos dentro de la plataforma, algo que muchas organizaciones desconocen.
La confusión sobre quién es responsable de la seguridad de los datos suele deberse a que los equipos internos adquieren productos SaaS sin involucrar a su departamento de TI o a los equipos de seguridad.
A continuación, puede ver un desglose tradicional de la responsabilidad compartida, a la que se adhieren varios proveedores de nubes como Salesforce, AWS y Microsoft en sus organizaciones.
Un modelo tradicional de responsabilidad compartida.
Responsabilidad compartida en acción
Salesforce es un ejemplo destacado del modelo de responsabilidad compartida en acción.
Salesforce emplea la seguridad por diseño para su infraestructura, pero depende del usuario final implementar los controles de seguridad correctos y las prácticas recomendadas para mantener sus datos críticos a salvo de amenazas y vulneraciones.
Varonis ayuda a las organizaciones a cumplir con su parte del modelo de responsabilidad compartida proporcionando visibilidad en tiempo real de su postura de seguridad de datos de Salesforce, garantizando que solo las personas adecuadas tengan acceso a los datos de más valiosos, corrigiendo automáticamente los errores de configuración y detectando actividades sospechosas.
Cuando las organizaciones compran Salesforce, los equipos de ventas tienden a administrar la herramienta CRM y se centran en garantizar que los usuarios puedan acceder a la información con facilidad.
Sin embargo, es bastante común que los equipos de seguridad tengan una visibilidad o un conocimiento limitados de los riesgos asociados con una plataforma SaaS como Salesforce, a pesar de la naturaleza confidencial de los datos que almacena.
A menudo, la necesidad de un acceso rápido combinada con una supervisión de seguridad nula hace que la seguridad y la gobernanza de los datos queden en el camino. Así ocurre especialmente cuando las aplicaciones SaaS se compran y se implementan con poca o ninguna supervisión del equipo de TI, lo que aumenta en gran medida la probabilidad de una brecha de datos.
Por eso, implementar un modelo de responsabilidad compartida es primordial para la protección de los datos.
Cómo implementar el modelo de responsabilidad compartida en su organización
Para evitar que los datos confidenciales caigan en las manos equivocadas, el equipo de seguridad y los propietarios de la aplicación deben reconocer y comprender los componentes de un modelo de responsabilidad compartida.
Una relación de colaboración entre sus equipos internos y los propietarios de las aplicaciones contribuye a garantizar que sus datos en la nube estén debidamente protegidos y sean tratados con tanto cuidado como los que se encuentran almacenados en un servidor de archivos.
Proporcione a su equipo de seguridad y a los propietarios de las aplicaciones el acceso y los controles adecuados para garantizar que ambos grupos puedan responder estas tres preguntas:
- ¿Dónde se almacenan mis datos confidenciales en esta aplicación?
- ¿Quién puede acceder a estos datos?
- ¿Quién accede a mis datos?
Los miembros del equipo deben comprender qué componentes de la seguridad es responsable de proteger su empresa frente a los aspectos que posee el proveedor de SaaS, y qué aspectos de la seguridad deben ser abordados por ellos específicamente. Todas las plataformas SaaS que utiliza su organización deben evaluarse teniendo en cuenta el modelo de responsabilidad compartida.
Varonis ayuda a las organizaciones a comprender dónde se alojan sus datos confidenciales, mapea el acceso a sus datos y ofrece capacidades de auditoría y detección de amenazas.
Proporcionamos una comprensión clara y contextual de los datos SaaS, al tiempo que protegemos su organización con resultados automatizados sin afectar la continuidad del negocio. Nuestra cobertura incluye una variedad de datos SaaS, IaaS, locales y mucho más.
No espere a que se produzca una vulneración.
Si las organizaciones no definen de forma adecuada su responsabilidad compartida con las aplicaciones SaaS, la falta de propiedad y de preparación podrían provocar una incapacidad para responder adecuadamente a una brecha de datos o a una amenaza interna.
¿Quiere saber si sus datos confidenciales están protegidos?
Comience con nuestra evaluación de riesgo sobre los datos gratuita. En menos de 24 horas, tendrá una visión clara y basada en el riesgo de los datos que más importan y un camino claro hacia la remediación automatizada.
