¿Son las atestaciones de seguridad una necesidad para SaaS …


¿Las atestaciones de seguridad se están convirtiendo en imperativos comerciales o son simplemente adiciones simbólicas a la lista de requisitos reglamentarios?

En 2011, los gurús de la tecnología de Silicon Valley predijeron que el software program se comerá el mundo. Hoy vivimos en ese futuro, ya que la mayoría de las empresas utilizan software implementado en la nube. No se trata solo de marketing o finanzas La seguridad de TI también está repleta de application como servicio (SaaS). En perspectiva, casi El 90% de las organizaciones utilizan aplicaciones SaaS para administrar sus negocios.

Las herramientas SaaS son populares debido a ventajas tales como un tiempo de implementación más rápido, problemas mínimos de administración, sin costos iniciales de components y fácil escalabilidad. Sin embargo, muchos clientes comerciales tienen profundas preocupaciones con respecto a la seguridad de las aplicaciones en la nube.

La mayoría de las organizaciones solicitan a los posibles proveedores de SaaS que proporcionen sus credenciales de cumplimiento, y algunas empresas se niegan a asistir a una llamada de demostración si un proveedor de SaaS no está certificado por ISO o no cumple con SOC 2.

Los proveedores, especialmente las nuevas empresas, tienen una percepción algo diferente. La mayoría de las startups bootstrap pasan por alto completamente las atestaciones de seguridad o obtienen certificaciones como una ocurrencia tardía. Esto se debe principalmente a estas certificaciones son caras. Las empresas emergentes prefieren invertir dinero en el desarrollo de productos o la adquisición de clientes para obtener ganancias. Esto me hizo pensar en algunas preguntas:

  1. ¿Las atestaciones de seguridad se están convirtiendo en imperativos comerciales o son simplemente adiciones simbólicas a la lista de requisitos reglamentarios?
  2. Si se están convirtiendo en la nueva norma comercial, ¿qué certificaciones de seguridad son obligatorias?
  3. ¿Cómo se pueden validar las startups de SaaS que afirman que son seguras?

Para obtener respuestas a estas preguntas, me dirigí a mis compañeros de la industria de la ciberseguridad. Hablé con varios expertos y recientemente realicé una encuesta en LinkedIn para ver qué pensaban sobre este tema.

La encuesta está cerrada, pero aún puedes agregue sus comentarios.

Comprensión de las certificaciones de seguridad
Las certificaciones de seguridad más comunes son:

  • ISO 27001 indica qué procesos, servicios, sistemas o departamentos específicos desea proteger según lo definido por la política de su sistema de gestión de seguridad de la información.
  • Los controles CIS son un conjunto prescriptivo, priorizado y simplificado de mejores prácticas de ciberseguridad para ayudar a fortalecer su ciberseguridad. Por lo typical, debe asignar sus controles CIS a ISO 27001.
  • NIST ofrece una combinación de estándares, pautas y mejores prácticas existentes. Es un requisito previo para lograr el cumplimiento de HIPAA o FISMA.
  • Los Controles de Sistemas y Organizaciones 2 (SOC 2) son criterios para administrar los datos del cliente basados ​​en cinco principios de servicio de confianza: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad.

CIS, NIST e ISO 27001 son buenos puntos de partida para la mayoría de las nuevas empresas de SaaS, pero no ofrecen una imagen completa de la postura de seguridad common de una organización.

Por ejemplo, si está considerando comprar una aplicación certificada de un proveedor de SaaS, aún debe realizar la debida diligencia y auditar otros aspectos de sus DevSecOps. Ese tipo de auditoría doble es un poco extremo en el mundo de SaaS en rápido movimiento. Además, estas certificaciones solo son buenas si la empresa las sigue fuera del ciclo de auditoría. Otra advertencia es que algunas certificaciones son un símbolo de cumplimiento. Muchos líderes de seguridad han hecho sonar la alarma de que el cumplimiento no garantiza la seguridad.

CIS, NIST e ISO 27001 son excelentes a nivel de programa y son buenos respaldos comercializables sin embargo, a menudo tienen poco impacto en la higiene de seguridad genuine de una organización.

¿Cuál es el valor de tener la certificación SOC 2? Primero, satisface el cumplimiento de muchas auditorías de seguridad. También asegura que los proveedores de servicios SaaS manejen los datos privados de los usuarios de forma segura. Es importante saber que, a diferencia de ISO 27001, los informes SOC 2 no son una certificación. Es una atestación basada en el servicio de examen realizado bajo los estándares AICPA. SOC 2 ofrece una cobertura más amplia de su estado de seguridad y cumple con los criterios ISO 27001 de forma predeterminada. Sin embargo, si desea la certificación ISO 27001 además de los informes SOC 2, puede hacerlo con un costo adicional mínimo.

Hay una pequeña trampa si planeas obtenga informes SOC 2 para su organización. La mayoría de las empresas piensan que SOC 2 es el camino a seguir para las plataformas de seguridad en la nube. Si bien eso es cierto, recomiendo que las empresas de SaaS se certifiquen para SOC 2 Tipo 2. SOC 2 Tipo 1 es bueno cuando se someten a SOC 2 por primera vez. Pero la certificación Tipo 1 no proporcionará el nivel adecuado de garantía sobre la efectividad operativa de controles como un SOC 2 Tipo 2 a largo plazo.

El informe SOC 2 Tipo 2 cubre seguridad, confidencialidad, disponibilidad, integridad de procesamiento y privacidad. Indica madurez y es suitable para implementaciones de nivel de servicio y solución.

Desde el punto de vista del cliente, contratar a un proveedor de SaaS es fácil si este último puede demostrar que está preparado para SOC 2. La certificación SOC 2 indica que una empresa se toma en serio el manejo de los datos de los clientes y atrae a más clientes e inversores.

Si es una empresa de SaaS que evalúa la certificación SOC 2, considere comenzar a crear una estrategia para implementar controles de seguridad e invertir en su programa de concientización sobre seguridad. Esto le ayudará a fomentar una seguridad sólida por diseño sin perder tiempo ni recursos.

Una última palabra de advertencia
El cumplimiento es un motor empresarial formidable induce confianza y seguridad y le ayuda a destacarse en el altamente competitivo mercado de SaaS. Sin embargo, las atestaciones de seguridad son limitadas. Muchas empresas víctimas de violaciones de seguridad tienen varias certificaciones y atestaciones de seguridad.

El cumplimiento y las certificaciones por sí solos no lo protegerán de una violación de seguridad si sus socios proveedores resultan ser los eslabones débiles de su cadena de seguridad SaaS. Si desea evaluar la postura de seguridad de una empresa SaaS, hable con su líder de seguridad. Haga preguntas como:

  • ¿Tienen un líder de seguridad dedicado o un director de seguridad de la información digital (vCISO)?
  • ¿Quién es el dueño de la seguridad de su ecosistema SaaS?
  • ¿Con qué frecuencia realizan pruebas de penetración?
  • ¿Cuál es su program de respuesta a incidentes?

Probablemente aprenderá más sobre la postura de seguridad de la organización de esa conversación que de su SOC 2 o informes de cumplimiento.

Viral Trivedi es el director comercial de Ampcus Cyber ​​Inc, una empresa de servicios de ciberseguridad pura con sede en Chantilly, Virginia. Como CBO en Ampcus Cyber, Viral lidera muchas iniciativas de cara al cliente, incluida la estrategia de mercado, programas de socios de canal, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic