Desbloquear la seguridad de los datos de SaaS con responsabilidad compartida en la nube

Comprender los modelos de responsabilidad compartida y evitar errores críticos en la protección de datos de SaaS

Cierre los ojos y piense en cuántas aplicaciones as-a-service utiliza ahora mismo su organización. ¿Y si le dijera que esa cifra es 10 veces superior a su estimación inicial? ¿Y si le dijera que es 20 veces mayor?

Las aplicaciones XaaS, incluido el SaaS, van más allá Microsoft 365. Se aplica a sus plataformas en la nube y a todos sus servicios subyacentes. Se aplica a su organización de marketing, a su equipo de ventas, a su grupo financiero, etc.  

Aplicaciones SaaS: ¡en todas partes a la vez!  

La mediana empresa media utiliza más de 200 aplicaciones SaaS y, según algunos informes de investigación, hasta el 71% se paga fuera de TI. Para cualquiera de nosotros en TI, esto no es ninguna sorpresa. Es una realidad. En HYCU, lo hemos visto en nuestra propia organización y en muchos de nuestros clientes y socios, así como, desde organizaciones nativas digitales hasta empresas FORTUNE 500: esa realidad y el problema obvio son los mismos. He aquí un ejemplo de "pila tecnológica" que vemos a menudo en muchas organizaciones. Esto no incluye todos los servicios en la nube y aplicaciones as-a-service asociadas con cualquier aplicación de producción en particular.  

Abordar la zona gris: Responsabilidad de los datos en SaaS

Hay muchas razones por las que el uso de aplicaciones SaaS es tan popular. Las aplicaciones SaaS aportan escala y flexibilidad. Una vez que se suscribe a cualquier aplicación SaaS, no tiene que preocuparse de la gestión in situ, los parches o la actualización de las ediciones del servidor/centro de datos. Visite la URL, inicie sesión y empiece a utilizarla. Y ya está. No hay nada más difícil que eso. Por supuesto, hay muchas aplicaciones SaaS que se obtienen de forma gratuita y que le ofrecen funciones de actualización que puede o no necesitar, pero ese es un tema para otro día.

Sin embargo, la simplicidad del SaaS ha llevado a un malentendido masivo. Muchas empresas asumen que no son responsables de la seguridad, que no necesitan centrarse en ser responsables de la protección de datos, el cumplimiento, las copias de seguridad, etc. Es un malentendido popular y entendemos por qué la gente puede pensar así, pero es fundamentalmente erróneo. Y no sólo equivocado, sino peligroso. Desglosemos por qué y expliquemos con más detalle cuál es su responsabilidad en una aplicación o servicio en la nube o SaaS.  

El sistema: su proveedor es responsable del sistema, no el inquilino (usted).  

Utilicemos un ejemplo, Jira Softwareuna aplicación Atlassian . Es una de las aplicaciones más utilizadas del mundo. ¿No me cree? Pregunte a cualquiera de sus desarrolladores o miembros del equipo de ingeniería. Una vez descargado o alojado como ediciones de servidor y centro de datos, Jira se utiliza principalmente en Atlassian Cloud. Atlassian Nube = SaaS.  

Ahora, piensa en Jira como el sistema y Atlassian como su propietario y único responsable. Eso significa, como propietario, gestionar toda su infraestructura y seguridad, mantener las luces encendidas y mantener el sistema seguro y protegido.  

El Arrendatario - Usted es responsable de su cuenta y de sus datos, no su proveedor de servicios en nube.  

Si eres de los que aprenden visualmente como yo, aquí tienes una buena analogía para entender mejor un sistema y la responsabilidad compartida del cliente. Piense en un aparcamiento. Cuando necesitas encontrar aparcamiento, vas a un garaje, pagas y puedes aparcar. El garaje es responsable de mantener las luces encendidas y garantizar la accesibilidad.  

Pero, ¿y tu coche? ¿Y si se raya o alguien entra y roba algo o se sirve algo en el asiento trasero porque lo has dejado abierto? El responsable no es el taller, sino usted.  

El taller es el sistema; el coche son tus datos. Esto significa que usted es responsable de:

• Recuperación de datos/configuraciones perdidos (borrados, dañados, cifrados, etc.)

• Mantener copias de seguridad de sus datos con regularidad

• Cumplir los requisitos de conformidad de su organización (NIS2, DORA, etc.)

• Asegurar el acceso y los permisos dentro de su empresa  

‍

‍

Aunque se trata de un modelo sencillo, la mayoría de los administradores de TI y propietarios de aplicaciones desconocen su existencia. Por este motivo, vemos los mismos tres errores críticos que cometen las empresas:

Error nº 1: asumir que el proveedor de SaaS recuperará los datos por usted.  

La pérdida de datos es un hecho, independientemente de la aplicación que utilice. Los borrados accidentales, los errores, la corrupción e incluso las amenazas internas son el pan de cada día. Por lo general, la primera reacción del cliente es asumir que puede pedir al proveedor de SaaS que recupere sus datos. Por supuesto, la mayoría de los proveedores de SaaS intentarán ayudar, pero la realidad es que no pueden hacerlo por usted. En todos los modelos de responsabilidad compartida, los proveedores mencionan explícitamente que las copias de seguridad de los datos y la recuperación de los datos perdidos deben hacerse a partir de las copias de seguridad del cliente.  

‍

Error #2 - Asumir que las copias de seguridad a nivel de sistema son tus copias de seguridad.    

Sí, las plataformas en la nube y las aplicaciones SaaS guardan sus copias de seguridad. Pero se trata de copias de seguridad a nivel de sistema utilizadas para la recuperación de desastres y escenarios de pérdida de datos dentro de su infraestructura. Estas copias de seguridad no son accesibles para las recuperaciones a nivel de inquilino.  

¿Un huracán o un apagón? No te preocupes, la plataforma en la nube tiene un sistema de alta disponibilidad, recuperación ante desastres y copias de seguridad para garantizar que tu acceso y tus datos estén intactos.  

¿Alguno de tus administradores ha borrado datos accidentalmente? Esa es su responsabilidad.  

Por ejemplo, Salesforce mantiene copias de seguridad del sistema, pero toma medidas directas para informar a los clientes de la importancia de hacer copias de seguridad de sus datos.  

Error nº 3 - No tomarse en serio la conservación de datos y el cumplimiento de la normativa.

‍

Sigamos con la analogía del garaje. En caso de accidente o por imperativo legal, debes tener un seguro para tu coche; no puedes depender del seguro del garaje. Lo mismo ocurre con el cumplimiento de la normativa.  

No puede confiar en SaaS para cumplir la normativa si debe cumplirla (por ejemplo, HIPAA) o directivas respaldadas por el gobierno como NIS2 y DORA. Debe cumplir la normativa.

Por ejemplo, las normativas NIS2 y DORA le exigen explícitamente que cree copias de seguridad, pruebe la recuperación y proporcione documentación que demuestre que ha completado todos los pasos necesarios. Para ello no puedes utilizar las copias de seguridad a nivel de sistema, debes utilizar las tuyas.  

¿Qué significa todo esto? Significa que no caigas en el error que muchos pueden cometer antes de que sea demasiado tarde. Asegúrate de que tienes tus datos protegidos, de que puedes hacer copias de seguridad y recuperarlos en el caso inevitable de que se borren accidentalmente o sufran ataques malintencionados. Pero la mayoría de las veces empieza por saber lo que tienes en tu patrimonio de datos. Aunque resulta interesante saber exactamente cuántas aplicaciones SaaS o servicios en la nube se ejecutan en su entorno, a menudo el desconocimiento es el punto de partida. Siga con nosotros para saber por qué debería saberlo y lo fácil que puede ser.  

‍

¿Quiere saber más?

• Desmitificación de la protección de datos de SaaS: La verdad sobre la responsabilidad compartida

• Cómo evitar el apocalipsis de los datos SaaS: El papel que desempeñará la protección de datos en la batalla por salvar nuestro futuro digital

• Para más información,inscríbase en una demostración

• Aumente sus capacidades conR-Cloud

• AWS Modelo de responsabilidad compartida

• Libere el potencial de R-Graph con unaprueba exhaustiva

‍