Inquietudes de seguridad de SaaS y cómo abordarlas

Cuando una puesta en marcha de SaaS pasa a la fase de ampliación, a menudo se produce un cambio.

De repente, la seguridad se dispara en la lista cada vez mayor de prioridades comerciales, y con razón.

A medida que una empresa crece, necesita administrar más clientes y más datos que nunca. Y si el negocio tiene como objetivo atraer clientes más grandes, estos clientes sin duda tendrán mayores preocupaciones de seguridad y estándares más estrictos que cumplir.

Por supuesto, también existe la realidad de que una vez que su negocio de SaaS alcanza la fase de ampliación, es probable que su equipo haya dedicado mucho tiempo y esfuerzo a establecer el lugar del negocio en el mercado.

Vamos a analizar aquí los principales problemas de seguridad de SaaS y cómo pueden evitarse.

¿Qué es SaaS?

SaaS es un método de entrega de software que permite acceder a los datos desde cualquier dispositivo con conexión a Internet y un navegador web. En este modelo basado en web, los proveedores de software alojan y mantienen los servidores, las bases de datos y el código que forma una aplicación.

El modelo basado en la nube es tan común ahora que más del 60% de los buscadores de software que llaman a Software Advice solo quieren productos basados ​​en la web; menos del 2% solicita específicamente software local.

El modelo tradicional de entrega de software en las instalaciones se diferencia del SaaS en dos aspectos clave:

  • Las implementaciones de SaaS no requieren un hardware extenso, lo que permite a los compradores subcontratar la mayoría de las responsabilidades de TI que normalmente se requieren para solucionar problemas y mantener el software internamente.
  • Los sistemas SaaS generalmente se pagan dentro de un modelo de suscripción, mientras que el software local generalmente se compra a través de una licencia perpetua, pagada por adelantado.

Los usuarios locales también pueden pagar hasta un 20% anual en tarifas de mantenimiento y soporte. La tarifa de suscripción anual o mensual para un sistema SaaS generalmente incluirá la licencia de software, el soporte y la mayoría de las demás tarifas.

¿Quién es el propietario de mis datos SaaS?

La mayoría de los acuerdos de nivel de servicio (SLA) confirman la propiedad de su empresa de tus datos ubicados en los servidores del proveedor, así como tu derecho a recuperar los datos.

La mayoría de los contratos de SaaS también tienen contingencias integradas y prepagas que proporcionarán acceso a tus datos si el proveedor cierra sus puertas y garantiza que eres el propietario de esos datos.

Además, la mayoría de los proveedores de SaaS te permitirán exportar tus datos y realizar una copia de seguridad local en cualquier momento que desees. Es muy inusual que cualquier proveedor insista en que conserves la propiedad de tus datos. Este SLA es un documento importante y bastante complejo que debe analizarse con sus partes interesadas antes de comprometerse a comprar una nueva solución.

Además de la propiedad de los datos, asegúrate de revisar detenidamente estos aspectos de un SLA:

  • Responsabilidades del proveedor de software por soporte, actualizaciones o seguridad
  • Tus responsabilidades como cliente para notificar al proveedor de los problemas de manera oportuna
  • Garantías de servicio, como el nivel de tiempo de actividad y cómo un cliente puede responder a un servicio deficiente.

Seguridad SaaS para startups

Cuando las empresas SaaS comienzan, su enfoque principal es atraer y adquirir clientes para respaldar su crecimiento. Después de todo, si no tienes clientes para comprar tu producto, entonces no tienes un negocio.

En la fase de inicio, la seguridad ni siquiera figura en la lista de las 10 principales razones por las que las empresas fracasan. Las razones más comunes por las que las startups fracasan son:

  • No hay suficiente necesidad en el mercado.
  • El negocio se quedó sin efectivo
  • No tenía el equipo adecuado en su lugar
  • La competencia los superó
  • Hubo problemas de precios
  • El producto no era fácil de usar.
  • El modelo de negocio era insuficiente para respaldar el producto.
  • Marketing hundido
  • Se pasaron por alto las necesidades del cliente
  • El producto llegó en el momento equivocado.

Sin embargo, cuando un negocio SaaS llega a la fase de escalado, la seguridad se convierte en una de las principales preocupaciones. Y las infracciones pueden acabar con una empresa bien establecida en poco tiempo.

Pero, ¿cómo de serio es el problema de la seguridad en línea para las empresas de SaaS durante estos tiempos modernos? La respuesta corta es muy seria. La seguridad es en realidad la mayor preocupación al adoptar estrategias empresariales de computación en la nube, según el 66% de los expertos en TI.

Seguridad empresarial moderna

Desafortunadamente, la seguridad comprometida ya no es la excepción. En la primera mitad de 2019, las infracciones dejaron expuestos 4.100 millones de registros. Se espera que las empresas de todo tipo gasten más de $ 1 billón en medidas de seguridad entre 2017 y 2021. Y con el auge de la tecnología de Internet de las cosas (IoT) y la prevalencia de dispositivos conectados, este número seguramente aumentará.

Las estimaciones sugieren que el gasto solo en soluciones de seguridad de IoT aumentará de 1,5 mil millones a más de 3,1 mil millones en todo el mundo para 2021. Y los esfuerzos parciales de soluciones de seguridad de la industria de IoT hasta ahora han sido preocupantes por decir lo mínimo.

El ritmo de los negocios nunca ha sido más rápido, y el énfasis en la velocidad de comercialización en contraposición a la seguridad de los datos dentro del mercado es ciertamente omnipresente. Las ganancias a corto plazo de ser el primero o temprano en el mercado pueden ser muy atractivas para muchas empresas en crecimiento, e incluso empresas establecidas con nuevos productos, pero las consecuencias a largo plazo pueden ser devastadoras.

También vale la pena señalar que las repercusiones de las violaciones de datos no terminan después de que los titulares caen de la primera página de los resultados de Google.

Por ejemplo, cuando MyFitnessPal sufrió una violación de datos, afectó a unos 144 millones de suscriptores. En respuesta, se animó a estos suscriptores a cambiar sus contraseñas además de otras medidas de protección sugeridas. Pero en muchos casos, sugerencias como estas pueden llegar demasiado tarde.

Un año después de la violación de datos, esa información original comprometida junto con los datos pirateados de otros 15 sitios web se ofrecieron en el mercado de la web oscura al mejor postor.

En 2012, el gigante de intercambio de archivos SaaS Dropbox tenía su propio dilema de seguridad. Los piratas informáticos obtuvieron acceso a 68 millones de cuentas de usuario, incluidas direcciones de correo electrónico y contraseñas cifradas. A partir de ahí, los 5 gigabytes supuestamente también se dirigieron al mercado de la web oscura.

Las brechas de alto perfil como estas impulsan a las empresas de SaaS a escalar para examinar sus propias medidas de seguridad y tomar medidas preventivas. Al menos, deberían hacerlo.

Preocupaciones de seguridad para el negocio de SaaS en escala

Las empresas de SaaS de escala deben abordar la siguiente pregunta: ¿pueden sus sistemas satisfacer sus crecientes necesidades de seguridad, o sus prácticas e infraestructuras actuales los harán vulnerables al robo de datos y otras actividades cibernéticas nefastas?

Estas son algunas de las principales preocupaciones de seguridad para escalar las empresas de SaaS y algunos consejos sobre cómo abordarlas utilizando tecnología y procesos más estrictos.

1. ¿Cuáles son las mejores prácticas de seguridad de SaaS para el almacenamiento seguro de datos de clientes?

Como se mencionó, las empresas de SaaS en escala tienen un número creciente de clientes (y un tamaño de clientes cada vez mayor) preocupados por mantener sus datos seguros. Las filtraciones de datos en las empresas empresariales son los sucesos que generalmente acaparan los titulares, pero se pueden robar datos de empresas de todos los tamaños.

Estas infracciones pueden afectar negativamente la reputación de tu empresa, la retención de clientes y, en última instancia, los ingresos, sin mencionar que pueden crear impactos duraderos en los negocios y la vida de tus clientes.

La seguridad debe ir más allá de la mera percepción. En cambio, se deben involucrar todas las facetas del negocio.

Un programa exitoso de garantía de seguridad centrado en el negocio requiere relaciones de trabajo positivas y colaborativas en toda la organización.

Cuando las empresas comprenden los entresijos de cómo se maneja la seguridad dentro de sus organizaciones, pueden transmitirlo a los clientes con confianza.

A medida que un negocio SaaS escala, este es el momento ideal para implementar procesos y plataformas para mantener los datos seguros. Por ejemplo, debe haber un proceso de evaluación continua de los datos que administra la empresa e identificar posibles vulnerabilidades, tomar medidas para remediar esas vulnerabilidades y luego informar de manera inmediata y transparente cualquier problema para que se puedan tomar medidas de inmediato.

Y en términos de plataformas seguras, opciones como una sólida plataforma de facturación por suscripción pueden mantener un alto nivel de seguridad financiera para su facturación SaaS, un gran punto de venta para los clientes que le confían su información financiera. Las soluciones que ofrecen la certificación PCI Nivel 1 se adhieren a los estándares más estrictos para almacenar datos de tarjetas de crédito.

Establecido hace más de una década, el PCI Security Standards Council fue creado para garantizar la seguridad de los datos financieros y puede emitir multas de hasta $ 100,000 por mes para los bancos vinculados a negocios que no cumplen.

El cumplimiento de PCI no solo está vinculado a los estándares de seguridad, sino que esos estándares se pueden mantener con confianza ya que las auditorías se realizan con frecuencia y el proceso puede llevar meses. Los estrictos requisitos establecidos para proteger los datos de los clientes son un componente esencial para las empresas que se preocupan por la seguridad.

Asegúrate de hacer tu tarea cuando decidas sobre las soluciones SaaS con las que asociarte para asegurarte de que se mantengan en un alto nivel de cumplimiento de seguridad. No tiene sentido hacer el esfuerzo de crear procesos sólidos y un entorno seguro dentro de tu propio negocio si se está integrando con otras soluciones que no están haciendo lo mismo.

2. ¿Qué es exactamente un firewall y cómo puede ayudar a mi negocio?

El término ‘cortafuegos’ se ha utilizado durante muchos años y, a medida que una empresa SaaS se prepara para escalar, es aconsejable aprender más sobre los cortafuegos.

Los firewalls actúan como sistemas de seguridad de red que monitorizan y controlan el tráfico entrante y saliente según los parámetros de seguridad establecidos por la empresa. Es tu primera línea de defensa y crea una barrera entre ti e Internet en general.

En el sentido más básico desde la perspectiva del cliente, el propietario de una computadora protege su PC con un firewall instalando un software antivirus. Este software analiza toda la información entrante de los sitios web que se visitan para asegurarse de que el tráfico que ingresa esté protegido.

Si ese cliente decide realizar una compra única o suscribirse a un servicio que tiene una tarifa mensual recurrente, la información que comparte el cliente ya no está protegida únicamente por el firewall de su propia computadora. Esos datos se envían a otro lugar, para ser almacenados para futuras facturas o compras. La empresa de SaaS con la que están trabajando necesita tener sus propios cortafuegos.

Por lo tanto, garantizar que tu negocio SaaS esté protegido por un firewall seguro es esencial para la seguridad de tus propios datos, así como la de tus clientes. Además, las empresas deben considerar asociarse solo con tecnología protegida por firewalls de última generación para proteger completamente los datos que están almacenando.

3. ¿Las medidas de seguridad de SaaS ralentizarán mis procesos comerciales?

Por la propia naturaleza de un producto SaaS, los datos deben ser de fácil acceso y rapidez. Cuanto más rápido se puede obtener la información, más ágil se vuelve un negocio, lo cual es esencial para mantener una ventaja competitiva.

Una empresa de escalado trae muchos más datos que nunca porque está manejando toda la información para más clientes que cuando estaba en una fase de inicio. Por ejemplo, considera las bases de datos que ejecutan scripts que están atascados con información innecesaria. Esos datos pueden enredarse y ralentizar los procesos.

Sin embargo, hay pasos que se pueden tomar para garantizar que las secuencias de comandos se aceleren y que tengas acceso a los resultados de los datos necesarios rápidamente. Además, con los datos almacenados en la nube, la accesibilidad está aumentando gracias a los procesos acelerados por el aprendizaje automático y la inteligencia artificial (IA).

4. Si mi empresa protege los datos de los usuarios, ¿esto reduce la transparencia?

La seguridad de los datos puede ser un arma de doble filo en este caso. Si bien una empresa puede asegurar a sus clientes que su información se almacena de manera segura, puede dudar en ilustrar cuáles son esas medidas de seguridad y arriesgarse a comprometer esa seguridad. Al no ser sincero con los clientes, puede parecer que la empresa no está siendo transparente.

Sin embargo, las empresas de SaaS pueden mantener la transparencia mientras demuestran su protocolo de seguridad. Un acuerdo de nivel de servicio (SLA) se utiliza para explicar a un cliente lo que puede esperar de la empresa, como el tiempo de inactividad y los tiempos de respuesta si hay un problema con el servicio. Un SLA también proporciona la vía para discutir problemas de seguridad, describiendo los pasos para notificar a un cliente si hay una violación de datos.

Además, generalmente es de conocimiento común que los datos se almacenarán en la nube o en otro servidor. Deja que tus clientes conozcan los detalles del almacenamiento de datos de tu empresa a través de tu política de privacidad para que comprendan lo que puede suceder si hay una interrupción u otro problema que colapsa los servidores donde se almacenan los datos.

5. ¿Qué medidas de seguridad de SaaS debo tener en cuenta al trabajar con un proveedor?

Además de la protección de firewall, una empresa SaaS en escala debe asegurarse de que cualquier plataforma con la que se asocie pueda ofrecer detección de intrusiones en la red y software de entrega de contenido. De la mano de una estricta protección de firewall, la detección de intrusiones en la red monitoriza continuamente un sistema para detectar actividad maliciosa. Si se detecta actividad, se envía inmediatamente una alerta al administrador de la red, lo que solicita una acción.

La detección de intrusiones en la red se diferencia de un firewall porque un firewall funciona a partir de un conjunto estático de reglas preestablecidas, mientras que la detección de intrusiones en la red finaliza las conexiones de forma activa. Están interconectados pero tienen diferentes responsabilidades.

Al mismo tiempo, la seguridad debe encapsular las redes de entrega de contenido que permitan que los datos se transmitan rápidamente y permitan una alta tasa de disponibilidad y rendimiento. También deben garantizar que la transmisión esté protegida por protocolos de seguridad que estén siempre «activos».

Independientemente de los proveedores y plataformas que selecciones, recuerda que lo que puede ser lo mejor en cuanto a seguridad en un momento dado, no siempre será lo más seguro en los próximos años. Debes asegurarte de que los socios que selecciones mantengan un alto nivel de seguridad en el futuro, porque los protocolos cambian, el software se actualiza y surgen nuevas amenazas.

Mantener una seguridad SaaS eficaz es un viaje continuo

Si bien tu negocio de SaaS puede haber estado muy ocupado en cosas como el crecimiento de los clientes, las actualizaciones de productos y la supervivencia básica en sus primeras etapas, requiere un cambio de enfoque a medida que avanza hacia la ampliación.

Cuando te prepares para manejar una avalancha de información adicional, desde una mayor facturación de SaaS y gestión de la información del cliente hasta la transparencia y la seguridad de las asociaciones, asegúrate de tener sistemas para manejar y proteger esos datos. Y recuerda, la seguridad es un viaje continuo, no una oportunidad única.

Es de vital importancia revisar los mecanismos de defensa de seguridad de tu empresa de forma continua. Pon personas, procesos y soluciones en su lugar, tanto internamente como a través de asociaciones y proveedores, que se puedan mantener de manera confiable en un alto nivel de cumplimiento y protocolo de seguridad, ahora y en el futuro.