Los riesgos del Software as a Service

  • Opinión

Cada vez son más las empresas que, en sus esfuerzos por subirse al tren de la digitalización, confían en terceros para contratar servicios necesarios para su desarrollo estratégico y tecnológico

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Para responder a las necesidades crecientes de tecnología han surgido en los últimos años servicios cada vez más especializados en ofrecer soluciones concretas que abaraten los costes y cubran las exigencias de personal cualificado para su correcta gestión. Uno de los que más se han extendido en los últimos años es el de las tecnologías cloud, en especial el Software As A Service (SaaS), que permite a las compañías contratar recursos centralizados a medida que se necesitan, permitiendo así escalar la implementación y el desembolso económico. Esto es parte de lo que conocemos como “Empresa Extendida”.

Este artículo de opinión fue publicado en el número de marzo de IT Digital Security. Puedes descargarte la revista desde este enlace.

Una de las indudables ventajas que la tecnología cloud ofrece a las compañías es la posibilidad de centrar sus esfuerzos en el desarrollo de sus negocios, a través de un soporte tecnológico muy flexible, que permite adaptarse rápidamente a las necesidades que les vayan surgiendo, sin preocuparse de adquisiciones tecnológicas propias, mantenimientos, evoluciones, etc.. Sin embargo, y aunque estas soluciones ofrecen ventajas muy importantes para las compañías, en especial para las de mediano y pequeño tamaño, donde los recursos son más limitados, lo cierto es que exponen a las empresas a una serie de riesgos externos para los que deben prepararse adecuadamente. Para ello, es necesario conocer profundamente los servicios e infraestructuras que se están contratando, de manera que podamos decidir la estrategia de seguridad más adecuada para cada caso.

Cabe destacar que la complejidad de los modelos de relación con terceras partes está suponiendo que cada vez más, las situaciones de riesgo reputacional o regulatorio tengan su origen en las terceras partes que ofrecen sus servicios a la “empresa extendida”. Para enfrentarse adecuadamente a todos estos riesgos, cualquier organización que se identifique con un ecosistema de “empresa extendida”, debe incorporar en su modelo de gobierno y gestión de riesgos un modelo de referencia (Third Party Governance & Risk Management - TPGRM) que contemple los riesgos asociados a terceros, de forma que pueda hacer frente a cualquier eventualidad de forma holística.

Un modelo de este tipo debe incluir no solo los riesgos a los que se enfrenta con el uso de servicios ofrecidos por terceras partes (operativos, legales, financieros, reputacionales, estratégicos, tecnológicos...), sino también el modelo operativo de gestión de estos riesgos (estructura de soporte, políticas y estándares, procesos de gestión, personas, tecnología de soporte, indicadores, etc.).

Según el informe Extended Enterprise Risk Management Survey elaborado por Deloitte, el 74% de los 536 ejecutivos encuestados afirmaron haber sufrido algún tipo de incidente con terceras partes, en los últimos tres años. De estos, 1 de cada 5 han tenido un fallo completo o un incidente relevante; un 26,3% reconoce haber incurrido en incumplimientos regulatorios por causas de un tercero; y un 16,7% declaró haber sufrido daños reputacionales. Con estas cifras en la mano la cuestión no es si las compañías sufrirán un incidente, sino si estamos preparados para hacerle frente cuando ocurra.

El primer paso a tener en cuenta es el grado de confianza depositado en el proveedor de servicios, responsable de al menos la primera capa de seguridad para la protección de nuestros datos. Uno de los principales riesgos asociados a este tipo de servicios está relacionado con los mecanismos de intercambio de información y de autenticación de los usuarios. Es necesario, pues, que el diseño de las interfaces que los hacen posibles cumpla unos estándares que garanticen la seguridad de nuestros datos. No se trata sólo de que el diseño de respuesta a nuestra necesidad de negocio, sino también que la información esté protegida adecuadamente en todo su ciclo de vida, prestando especial atención a los mecanismos orientados a evitar fugas de información o incluso permeabilidad entre otros sistemas, bases de datos o aplicaciones que estén alojados en la misma cloud.

El segundo de los riesgos asociados a las tecnologías cloud se deriva directamente de la naturaleza de estos mismos servicios: el uso compartido de recursos. Es necesario, pues, establecer las capas de seguridad necesarias para que los distintos usuarios de la tecnología (ya sea hardware o software) no puedan interferir en las actividades del resto, destacando la necesidad de desarrollar procesos de autenticación y controles de acceso robustos para los usuarios con privilegios de administración.

El almacenamiento externo de datos de carácter confidencial conlleva en sí mismo una serie de riesgos que tampoco debemos olvidar. Uno de ellos, aunque no sea siempre el más inmediato a acudir a nuestra mente es el de la localización física de los datos, ya que las empresas pueden disponer de servidores en diferentes partes del mundo, sujetos a marcos regulatorios diferentes. Conocer la localización física de nuestros datos o, en su defecto, establecer un acuerdo por el que el tratamiento de los datos se enmarque en la regulación del país del suscriptor suele ser un buen comienzo. La posesión de certificaciones de seguridad o las auditorías externas al proveedor son otras dos medidas, al menos, recomendables.

La titularidad de los datos, el cifrado y aislamiento de la información, los accesos no autorizados, la pérdida de información, el secuestro de sesiones o la viabilidad de los servicios a largo plazo son otras de las cuestiones a tener muy en cuenta a la hora de diseñar un plan de gestión de riesgos que abarque no sólo los servicios contratados a terceros, sino que tenga en cuenta el conjunto de la empresa extendida.  Ser capaces de ofrecer las mejores garantías y, lo que es más importante, responder de forma rápida y coordinada ante cualquier incidente es lo que nos permitirá ganar, y mantener, la confianza de nuestros clientes.

Óscar Martín Moraled, Socio de Risk Advisory de Deloitte

TAGS Seguridad, SaaS