Reducir el riesgo de aplicaciones SaaS de terceros para su …



Estas aplicaciones pueden intentar filtrar sus datos o pueden contener código malicioso. E incluso las aplicaciones legítimas pueden estar mal escritas, lo que genera riesgos de seguridad.

Con el cambio drástico hacia las fuerzas de trabajo remotas en los últimos seis meses (y se prevé que continúe hasta 2021), más organizaciones están luchando con las preocupaciones de seguridad de las aplicaciones y extensiones de software program como servicio (SaaS) de terceros. Si bien estas aplicaciones pueden ampliar significativamente la funcionalidad y las capacidades del entorno de nube pública de una organización, también pueden presentar desafíos de seguridad. Por ejemplo, muchos tienen permiso para leer, escribir y eliminar datos confidenciales, lo que puede afectar significativamente la seguridad, el negocio y los riesgos de cumplimiento de su organización. Evaluar el riesgo de estas aplicaciones para sus empleados es clave cuando se trata de mantener un equilibrio entre seguridad y productividad. Entonces, ¿cómo equilibras los dos?

Primero, es very important comprender el riesgo de las aplicaciones de terceros. En un mundo ideal, cada aplicación o extensión potencial se evalúa a fondo antes de se introduce en su entorno. Sin embargo, dado que la mayoría de los empleados siguen trabajando de forma remota y usted y sus administradores tienen un regulate limitado sobre su actividad en línea, eso puede no ser una realidad hoy. Sin embargo, la reducción del riesgo de pérdida potencial de datos incluso después de que se haya instalado una aplicación sigue siendo de critical importancia. La realidad es que, en la mayoría de los casos, las amenazas de aplicaciones de terceros provienen de dos perspectivas diferentes. Primero, la aplicación de terceros puede intentar filtrar sus datos o contener código malicioso. Y en segundo lugar, puede ser una aplicación legítima pero estar mal escrita (lo que provoca brechas de seguridad). Las aplicaciones mal codificadas pueden introducir vulnerabilidades que conducen al compromiso de los datos.

Si bien Google tiene un proceso de selección para los desarrolladores (como lo menciona su descargo de responsabilidad), los usuarios son los únicos responsables de los datos comprometidos o perdidos (en cierto modo intenta protegerlo … más o menos). Las empresas deben apropiarse enérgicamente y rápidamente de la detección de aplicaciones de terceros para las mejores prácticas de seguridad. ¿Cuáles son las mejores prácticas que describe Google para la seguridad de aplicaciones de terceros? Primero, recomienda evaluar adecuadamente al proveedor o la aplicación y, a continuación, examinar los dispositivos y los dispositivos contextuales con cuidado, y no espere que los proveedores de SaaS asuman la responsabilidad. De hecho, Google toma sin responsabilidad por la seguridad de las aplicaciones en su Market, por lo que cualquier aplicación o extensión de terceros descargada por sus empleados se convierte en responsabilidad expresa de su organización. ¿Qué necesita saber para ayudar a filtrar aplicaciones y mantener seguros a sus empleados? Estas son algunas de las mejores prácticas de seguridad de aplicaciones.

Google señala que debe evaluar todos los proveedores y aplicaciones antes de usarlos en su entorno de G Suite (gracias, Google). Para analizar si un proveedor o una aplicación es aceptable para usar desde una perspectiva de seguridad de G Suite, considere comenzar con la siguiente evaluación (antes de instalar la aplicación). Mire las reseñas dejadas por los clientes que descargaron e instalaron la aplicación de terceros. Las reseñas se enumeran para todas las aplicaciones de G Suite Market y, a menudo, contienen información valiosa.

También debe buscar y analizar los términos de servicio, la política de privacidad y los acuerdos de la política de eliminación del proveedor de aplicaciones de terceros para asegurarse de que no haya cláusulas ocultas no deseadas que puedan afectar la seguridad. Y, por último, comuníquese directamente con el proveedor de aplicaciones de terceros si tiene preguntas sobre las áreas grises que podrían resultar peligrosas.

Es casi imposible administrar y analizar manualmente los cientos de aplicaciones que probablemente se estén descargando en un gran entorno corporativo. Usted y su individual de TI necesitan una solución que muestre todas las aplicaciones en un lugar centralizado. Lo necesita para evaluar el riesgo asociado con cada aplicación y ofrecer una funcionalidad que le permita tomar medidas rápidamente cuando se identifiquen vulnerabilidades.

Pero no es solo una solución de evaluación y monitoreo lo que eliminará el riesgo. Más allá de la preocupación típica de las descargas de aplicaciones no autorizadas, pueden ocurrir otros problemas de seguridad junto con las acciones de los empleados. Debe combinar tecnología y capacitación para ayudar a mitigar estos riesgos, como durante la transferencia de datos confidenciales, cuando un empleado instala una aplicación que se conecta al entorno de G Suite y comienza a migrar datos confidenciales de una cuenta corporativa a su cuenta individual de almacenamiento en la nube privada. Esto suele ocurrir cuando un empleado make your mind up dejar una empresa.

Otro riesgo común ocurre durante el despido de un empleado. Cuando una empresa despide a un empleado, los administradores de TI suelen suspender la cuenta de usuario. Cuando suspende una cuenta de G Suite, todas las aplicaciones siguen teniendo acceso a datos confidenciales a los que puede acceder el usuario. Esta puede ser una fuente potencial de violación de datos.

Finalmente, las aplicaciones de terceros comprometidas pueden ser pirateadas por ciberdelincuentes. Es posible que los desarrolladores no puedan identificar rápidamente la infracción antes de que comience a descargar o migrar una cantidad anormal de datos o antes de que cambie el alcance de los permisos, lo que constituye un comportamiento extraño.

Como puede ver, el riesgo de descargar aplicaciones externas se extiende incluso más allá de la permanencia de un empleado en la organización. Tener soluciones para ayudar a mitigar el riesgo (y capacitar a sus empleados sobre los riesgos) es basic para cerrar esta laguna de seguridad. Las amenazas, variantes, complejidades, redes híbridas, políticas de traer su propio dispositivo y muchos otros factores hacen que sea casi imposible para las organizaciones depender de esfuerzos manuales para una seguridad adecuada.

Pero la buena noticia es que el aprendizaje automático y la automatización están ayudando a las organizaciones a reconocer más fácilmente las desviaciones del comportamiento «ordinary» de las aplicaciones, reduciendo así el riesgo asociado con estas aplicaciones de terceros.

Dmitry Dontov es el director de tecnología y fundador de Spin Technology, una empresa de protección de datos en la nube con sede en Palo Alto y ex director ejecutivo de Ideal World-wide-web Outsourcing, una empresa de desarrollo de software de Europa del Este. Como emprendedor en serie y experto en ciberseguridad con más de 20 años de … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic