Estamos pensando en SaaS de la manera incorrecta



Estamos acostumbrados a pensar en proteger las plataformas de software program como servicio (SaaS) y la nube como dos bestias separadas. Esta separación se deriva de la forma en que SaaS y la nube pública surgieron por primera vez como soluciones de punto pequeño y una extensión del centro de datos tradicional, respectivamente. Hoy, debido a la llegada del código bajo, esta separación es incorrecta y nos impide ver lo que está bien frente a nuestros ojos. El código bajo hace que las plataformas SaaS formen parte de la nube pública, un lugar donde los desarrolladores crean múltiples aplicaciones en lugar de consumir una sola: una plataforma en la nube.

Si no logramos cambiar nuestra mentalidad, nos lleva a donde estamos hoy, con esas aplicaciones que se dejan disponibles sin visibilidad de seguridad. Y para empeorar las cosas, las aplicaciones de código bajo están integradas directamente en plataformas como Salesforce y Microsoft Dynamics, que todos usamos y que contienen nuestros datos comerciales más confidenciales.

¿Cómo llegamos aquí?

Las historias de origen siempre son interesantes porque explican algo fundamental sobre la forma en que percibimos al héroe de la historia. Mientras SaaS comenzó como una extensión de la pink corporativa, la nube pública comenzó como una extensión del centro de datos. Esos puntos de partida tan diferentes explican por qué la protección de SaaS comenzó con la TI en la sombra (protección del perímetro) y la protección de la nube pública comenzó con la protección de la carga de trabajo (servidores de elevación y cambio y sus agentes de purple/host). Esto también significó que diferentes equipos de seguridad se encargaron de proteger SaaS y la nube, lo que por supuesto condujo a una separación de herramientas, diferentes modelos de amenazas y, lo que es más importante, la formación de diferentes mentalidades de seguridad.

Tanto SaaS como la nube pública han evolucionado drásticamente desde esos primeros días. Los proveedores de nube pública introdujeron paradigmas informáticos cada vez más granulares, introduciendo gradualmente infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y sin servidor para ayudar a los desarrolladores a centrarse en el problema empresarial en cuestión. También crearon un ecosistema completo de soluciones listas para usar para problemas complejos pero comunes: identidad, permisos, registro, configuración e implementación, por nombrar algunos.

SaaS solía significar una solución puntual para un problema específico. Salesforce comenzó como un CRM, ServiceNow como un sistema de tickets y Business office365 como correo electrónico, hojas de cálculo, documentos y diapositivas. (Si bien esta es más de una solución, estas son soluciones muy específicas). Look at eso con lo que ocurre hoy: los desarrolladores de Salesforce están creando aplicaciones para casi cualquier necesidad comercial además de la plataforma Salesforce, las aplicaciones de bajo código de ServiceNow son manejar casi cualquier cosa desde recursos humanos hasta procesos de salud y finanzas, y Electric power Platform, la plataforma de código bajo de Microsoft integrada en Workplace365, está siendo utilizada por más de 20 millones de usuarios en toda la industria para resolver cada necesidad empresarialdesde la productividad hasta las adquisiciones y los procesos relacionados con el COVID.

Claramente, estos se han convertido en plataformas de desarrollo de aplicaciones de nivel empresarial, no en soluciones específicas para problemas comerciales específicos. En la actualidad, muchos desarrolladores eligen crear sus aplicaciones en abstracciones proporcionadas por la plataforma, ya sean funciones sin servidor en la nube pública o bloques de construcción ampliables en plataformas SaaS de bajo código.

La introducción de los desarrolladores de negocios

Comparar cómo comenzaron las plataformas SaaS y dónde están ahora muestra claramente qué tan lejos han llegado desde sus versiones anteriores. Pero todavía hay un cambio importante que aún no hemos mencionado: la introducción de desarrolladores de negocios.

Las plataformas de código bajo SaaS extraen su poder de los datos que mantienen y sus usuarios existentes. Ambos no se limitan a TI, sino que se inclinan fuertemente hacia el negocio. Tener acceso tanto a los datos comerciales como a los usuarios comerciales significa que SaaS está en la posición perfecta para abordar el problema más apremiante que enfrentan muchas empresas hoy en día: la transformación electronic.

Con una escasez international de desarrolladores y la dificultad de agilizar un proceso comercial con tantas partes interesadas, las plataformas de código bajo introducen un atajo, lo que permite que los usuarios comerciales agilicen sus procesos por sí mismos sin esperar a TI.

El código bajo está despegando entre los usuarios empresariales, tanto que en su discurso de apertura de Inspire de 2019, el director ejecutivo de Microsoft, Satya Nadella discutió la oportunidad de código bajo para empoderar a las personas y crear nuevos trabajos administrativos como lo hizo Excel.

Al igual que la nube pública es una plataforma de desarrollo de aplicaciones que permite a los desarrolladores centrarse en su lógica comercial, las plataformas SaaS se han convertido en plataformas de desarrollo de aplicaciones que utilizan código bajo para permitir que los usuarios comerciales se conviertan en desarrolladores y aborden cualquier necesidad comercial.

SaaS ahora se enfoca en nuevos tipos de desarrolladores que abordan una amplia gama de necesidades comerciales no satisfechas con aplicaciones dedicadas, creando un nuevo tipo de nube: la nube empresarial.

Asegurar Minimal Code como una extensión de la nube

Al darnos cuenta de que algunas plataformas SaaS ahora son plataformas de desarrollo de aplicaciones y una extensión de la nube, debemos volver a examinar las responsabilidades para asegurar esas aplicaciones y ponerlas bajo el paraguas del equipo de seguridad.

Deberíamos tratar plataformas como Salesforce, ServiceNow y Workplace365 de la misma manera que tratamos a AWS, Azure y GCP, donde nos enfocamos en las aplicaciones que se crearon y están alojadas en estas plataformas de desarrollo de aplicaciones en lugar de tratar toda la plataforma como una sola aplicación. .

Shadow IT, por ejemplo, sigue siendo un problema con un número cada vez mayor y más pequeño de SaaS de solución puntual. Pero no tiene sentido tratar ninguna de las plataformas mencionadas anteriormente como una sola aplicación para descubrir y catalogar. En su lugar, debemos descubrir y catalogar las aplicaciones creadas con esas plataformas, y hay decenas de miles de ellas. En la mayoría de las organizaciones, esta enorme complejidad se oculta detrás de una sola línea en un inventario de aplicaciones.

Las aplicaciones creadas con plataformas SaaS de bajo código deben ser examinado con el mismo rigor de seguridad que usamos para las creadas en la nube porque, al last del día, una aplicación es una aplicación, sin importar dónde se haya creado y alojado.

Lo que importa para la seguridad de nuestras aplicaciones comerciales son las personas, los procesos y las herramientas que participan en la creación, el mantenimiento y la protección de esas aplicaciones. Para las aplicaciones creadas en la nube, contamos con desarrolladores profesionales, procesos de CI/CD automatizados y varias herramientas de seguridad, desde escaneo de código y análisis dinámico hasta monitoreo y prevención en tiempo de ejecución. Para las aplicaciones creadas en plataformas SaaS de bajo código, tenemos algunos desarrolladores profesionales pero también usuarios comerciales que no son expertos en seguridad, con pocos o ningún proceso de implementación y sin controles ni garantías de seguridad.

Pensar en plataformas low-code como parte de SaaS nos dificulta ver que una enorme parte de nuestras aplicaciones comerciales ahora están siendo creadas por el negocio, fuera de TI y fuera del regulate de seguridad. Para comenzar a ver el problema y descubrir nuestro enfoque, debemos cambiar nuestra mentalidad para reconocer las plataformas de código bajo como parte de la nube y tratar las aplicaciones en esas plataformas como lo hacemos con cualquier otra aplicación.



Enlace a la noticia primary