5 problemas de seguridad de SaaS y cómo abordarlos

Cuando una startup de SaaS pasa a la fase de ampliación, a menudo se produce un cambio.

De repente, la seguridad se dispara en la lista cada vez mayor de prioridades comerciales, y por una buena razón.

A medida que una empresa crece, necesita gestionar más clientes y más datos que nunca. Y si el negocio tiene como objetivo atraer clientes más grandes, estos clientes sin duda tendrán mayores preocupaciones de seguridad y estándares más estrictos que cumplir.

Por supuesto, también existe la realidad de que una vez que su empresa SaaS alcanza la fase de ampliación, es probable que su equipo haya dedicado mucho tiempo y esfuerzo a establecer el lugar de la empresa en el mercado.

Stephane Nappo, el Director de Seguridad de la Información (CISO) global del año, resumió la necesidad de seguridad de esta manera: "Se necesitan 20 años para construir una reputación y unos pocos minutos de incidentes cibernéticos para arruinarla".

Seguridad SaaS para startups vs. scaleups

Cuando los negocios de SaaS comienzan, su enfoque principal es atraer y adquirir clientes para respaldar su crecimiento. Que tiene sentido. Después de todo, si no tienes clientes que compren tu producto, entonces no tienes un negocio.

En la fase de puesta en marcha, la seguridad ni siquiera figura en la lista de las 10 principales razones por las que las empresas fracasan. Las razones más comunes por las que fallan las startups son:

1. No hay suficiente necesidad en el mercado.
2. El negocio se quedó sin efectivo
3. No tenía el equipo adecuado en su lugar
4. La competencia los superó
5. Hubo problemas de precios
6. El producto no era fácil de usar.
7. El modelo de negocio era insuficiente para soportar el producto.
8. marketing se derrumbó
9. Se pasaron por alto las necesidades del cliente
10. El producto llego en mal momento

Sin embargo, cuando una empresa SaaS llega a la fase de escalamiento, la seguridad se convierte en una de las principales preocupaciones. Y como señaló Nappo, las infracciones pueden acabar con una empresa bien establecida en muy poco tiempo.

Pero, ¿qué tan grave es el problema de la seguridad en línea para las empresas SaaS en estos tiempos modernos? La respuesta corta es, muy serio. La seguridad es en realidad la mayor preocupación cuando se adoptan estrategias empresariales de computación en la nube, según el 66 % de los expertos en TI.

Las realidades de la seguridad empresarial moderna

Desafortunadamente, la seguridad comprometida ya no es la excepción. En la primera mitad de 2019, las infracciones dejaron expuestos 4100 millones de registros. Se espera que las empresas de todo tipo gasten más de $ 1 billón en medidas de seguridad entre 2017 y 2021. Y con el auge de la tecnología de Internet de las cosas (IoT) y la prevalencia de los dispositivos conectados, esta cifra seguramente aumentará.

Las estimaciones sugieren que el gasto solo en soluciones de seguridad de IoT aumentará de $ 1.5 mil millones a más de $ 3.1 mil millones en todo el mundo para 2021. Y los esfuerzos de soluciones de seguridad fragmentados de la industria de IoT hasta ahora han sido preocupantes, por decir lo menos.

El ritmo de los negocios nunca ha sido tan rápido, y el énfasis en la velocidad de comercialización en lugar de la seguridad de los datos dentro del mercado es ciertamente omnipresente. Las ganancias a corto plazo de ser el primero o el primero en llegar al mercado pueden ser muy atractivas para muchas empresas en crecimiento, e incluso para empresas establecidas con nuevos productos, pero las consecuencias a largo plazo pueden ser devastadoras.

También vale la pena señalar que las repercusiones de las violaciones de datos no terminan después de que los titulares desaparecen de la primera página de resultados de Google.

Por ejemplo, cuando MyFitnessPal sufrió una filtración de datos, afectó a unos 144 millones de suscriptores. En respuesta, se alentó a estos suscriptores a cambiar sus contraseñas además de otras medidas de protección sugeridas. Pero en muchos casos, sugerencias como estas pueden ser demasiado poco y demasiado tarde.

Un año después de la violación de datos, esa información comprometida original junto con datos pirateados de otros 15 sitios web se ofreció en el mercado de la web oscura al mejor postor.

En 2012, el gigante de intercambio de archivos SaaS, Dropbox, tuvo su propio dilema de seguridad. Los piratas informáticos obtuvieron acceso a 68 millones de cuentas de usuario, incluidas direcciones de correo electrónico y contraseñas cifradas. A partir de ahí, los 5 gigabytes también llegaron al mercado de la web oscura.

Las infracciones de alto perfil como estas impulsan la ampliación de las empresas de SaaS para analizar sus propias medidas de seguridad y tomar medidas preventivas. Al menos, deberían.

Preocupaciones de seguridad para el negocio de SaaS en expansión

Las empresas de SaaS en expansión deben abordar la siguiente pregunta: ¿pueden sus sistemas satisfacer sus crecientes necesidades de seguridad, o sus prácticas e infraestructuras actuales los harán vulnerables al robo de datos y otras actividades cibernéticas nefastas?

Estas son algunas de las principales preocupaciones de seguridad para escalar negocios de SaaS y algunos consejos sobre cómo abordarlas utilizando tecnología y procesos más estrictos.

1. ¿Cuáles son las mejores prácticas de seguridad de SaaS para el almacenamiento seguro de datos de clientes?

Como se mencionó, las empresas de SaaS en expansión tienen un número creciente de clientes, y tamaños de clientes cada vez mayores, preocupados por mantener sus datos seguros. Las violaciones de datos en los negocios empresariales son los sucesos que generalmente ocupan los titulares, pero los datos pueden ser robados de empresas de todos los tamaños.

Estas infracciones pueden afectar negativamente la reputación de su empresa, la retención de clientes y, en última instancia, los ingresos, sin mencionar que pueden crear impactos duraderos en los negocios y las vidas de sus clientes.

Como sugirió Steve Durbin en un artículo reciente de Security Magazine, la seguridad debe ir más allá de la mera percepción. En cambio, todas las facetas del negocio deben estar comprometidas.

“Un programa exitoso de garantía de seguridad centrado en el negocio requiere relaciones de trabajo positivas y colaborativas en toda la organización”, escribió.

Cuando las empresas entienden los entresijos de cómo se maneja la seguridad dentro de sus organizaciones, pueden transmitir eso a los clientes con confianza.

A medida que un negocio SaaS escala, este es el momento ideal para implementar procesos y plataformas para mantener los datos seguros. Por ejemplo, debe haber un proceso de evaluación continua de los datos que administra su empresa e identificar cualquier vulnerabilidad potencial, tomar medidas para remediar esas vulnerabilidades y luego informar de manera inmediata y transparente cualquier problema para que se pueda tomar acción de inmediato.

Y en términos de plataformas seguras, las opciones como una sólida plataforma de facturación por suscripción pueden mantener un alto nivel de seguridad financiera para su facturación SaaS, un gran punto de venta para los clientes que le confían su información financiera. Las soluciones que ofrecen la certificación PCI Nivel 1 se adhieren a los estándares más estrictos para el almacenamiento de datos de tarjetas de crédito.

Establecido hace más de una década, el PCI Security Standards Council se creó para garantizar la seguridad de los datos financieros y puede imponer multas de hasta $100,000 por mes a los bancos vinculados a empresas que no cumplen.

El cumplimiento de PCI no solo está vinculado a los estándares de seguridad, sino que esos estándares se pueden mantener con confianza ya que las auditorías se realizan con frecuencia y el proceso puede llevar meses. Los estrictos requisitos establecidos para proteger los datos de los clientes son un componente esencial para las empresas que se preocupan por la seguridad.

Asegúrese de hacer su tarea cuando conozca las soluciones SaaS con las que quizás desee asociarse para garantizar que se mantengan en un alto nivel de cumplimiento de seguridad. No tiene sentido esforzarse por crear procesos sólidos y un entorno seguro dentro de su propio negocio si se está integrando con otras soluciones que no están haciendo lo mismo.

2. ¿Qué es exactamente un firewall y cómo puede ayudar a mi empresa?

El término 'cortafuegos' se ha utilizado durante muchos años y, a medida que un negocio de SaaS se prepara para escalar, es aconsejable aprender más sobre los cortafuegos.

Los firewalls actúan como sistemas de seguridad de la red que monitorean y controlan tanto el tráfico entrante como el saliente en base a los parámetros de seguridad establecidos por su empresa. Es su primera línea de defensa y crea una barrera entre usted e Internet en general.

En el sentido más básico desde la perspectiva del cliente, el propietario de una computadora protege su PC con un firewall mediante la instalación de un software antivirus. Este software analiza toda la información entrante de los sitios web que se visitan para asegurarse de que el tráfico entrante esté protegido.

Si ese cliente decide realizar una compra única o suscribirse a un servicio que tiene una tarifa mensual recurrente, la información que el cliente comparte ya no está protegida únicamente por el firewall de su propia computadora. Esos datos se envían a otro lugar, para ser almacenados para futuras facturaciones o compras. La empresa de SaaS con la que trabajan necesita tener sus propios cortafuegos.

Por lo tanto, garantizar que su negocio SaaS esté protegido por un firewall seguro es esencial para la seguridad de sus propios datos y los de sus clientes. Además, las empresas deben considerar asociarse solo con tecnología protegida por cortafuegos de última generación para proteger completamente los datos que almacenan.

3. ¿Las medidas de seguridad de SaaS ralentizarán mis procesos comerciales?

Por la propia naturaleza de un producto SaaS, los datos deben ser de fácil y rápido acceso. Cuanto más rápido se pueda obtener la información, más ágil se vuelve un negocio, lo cual es esencial para mantener una ventaja competitiva.

Un negocio en expansión trae muchos más datos que nunca porque está manejando toda la información para más clientes que cuando estaba en una fase de inicio. Por ejemplo, considere las bases de datos que ejecutan scripts que están atascados con información innecesaria. Esos datos pueden enredarse y ralentizar los procesos.

Sin embargo, hay pasos que se pueden tomar para garantizar que los scripts se aceleren y que tenga acceso a los resultados de datos necesarios rápidamente. Además, con los datos almacenados en la nube, la accesibilidad está aumentando gracias a los procesos acelerados por el aprendizaje automático y la inteligencia artificial (IA).

4. Si mi empresa protege los datos de los usuarios, ¿reduce esto la transparencia?

La seguridad de los datos puede ser un arma de doble filo en este caso. Si bien una empresa puede asegurar a sus clientes que su información se almacena de manera segura, puede dudar en ilustrar cuáles son esas medidas de seguridad y correr el riesgo de comprometer esa seguridad. Al no ser sincero con los clientes, puede parecer que el negocio no está siendo transparente.

Sin embargo, las empresas de SaaS pueden mantener la transparencia mientras demuestran su protocolo de seguridad. Un acuerdo de nivel de servicio (SLA) se utiliza para explicar a un cliente lo que puede esperar de la empresa, como el tiempo de inactividad y los tiempos de respuesta si hay un problema con el servicio. Un SLA también proporciona la vía para discutir problemas de seguridad, describiendo los pasos para notificar a un cliente si hay una violación de datos.

Además, generalmente es de conocimiento común que los datos se almacenarán en la nube o en otro servidor. Informe a sus clientes los detalles del almacenamiento de datos de su empresa a través de su política de privacidad para que entiendan lo que puede suceder si hay una interrupción u otro problema que derrumba los servidores donde se almacenan los datos.

5. ¿Qué medidas de seguridad de SaaS debo tener en cuenta al trabajar con un proveedor?

Además de la protección de firewall, una empresa SaaS en expansión debe asegurarse de que cualquier plataforma con la que se asocie pueda ofrecer detección de intrusiones en la red y software de entrega de contenido. De la mano de una estricta protección de cortafuegos, la detección de intrusos en la red monitorea continuamente un sistema en busca de actividad maliciosa. Si se detecta actividad, se envía inmediatamente una alerta al administrador de la red, incitando a la acción.

La detección de intrusos en la red difiere de un firewall porque un firewall funciona a partir de un conjunto estático de reglas preestablecidas, mientras que la detección de intrusos en la red finaliza activamente las conexiones. Están interconectados pero tienen diferentes responsabilidades.

Al mismo tiempo, la seguridad debe encapsular redes de entrega de contenido (CDN) que permitan que los datos se transmitan rápidamente y permitan una alta tasa de disponibilidad y rendimiento. Los CDN de hoy también deben garantizar que la transmisión esté protegida por protocolos de seguridad que estén siempre "activados".

Independientemente de los proveedores y las plataformas que pueda seleccionar, recuerde que lo que puede ser la crema de la cosecha en cuanto a seguridad en un momento puede no ser siempre la más segura en los años futuros. Debe asegurarse de que los socios que seleccione mantengan un alto nivel de seguridad en el futuro, porque los protocolos cambian, el software se actualiza y surgen nuevas amenazas.

Mantener una seguridad SaaS efectiva es un viaje continuo

Si bien su negocio de SaaS puede haber estado muy ocupado en cosas como el crecimiento de clientes, las actualizaciones de productos y la supervivencia básica en sus primeras etapas, requiere un cambio de enfoque a medida que avanza hacia la ampliación.

Cuando se prepare para manejar una avalancha de información adicional, desde el aumento de la facturación de SaaS y la gestión de la información del cliente hasta la transparencia y la seguridad de la asociación, asegúrese de contar con sistemas para manejar y proteger esos datos. Y recuerde, la seguridad es un viaje continuo, no una oportunidad única.

Es de vital importancia revisar los mecanismos de defensa de seguridad de su empresa de manera continua. Implemente personas, procesos y soluciones, tanto internamente como a través de asociaciones y proveedores, que se puedan mantener de manera confiable en un alto nivel de cumplimiento y protocolo de seguridad, ahora y en el futuro.

Mantenga su negocio SaaS seguro con los últimos conocimientos sobre ciberseguridad y herramientas de cumplimiento al alcance de su mano.