Desbloquear la seguridad de los datos de SaaS con responsabilidad compartida en la nube
Entender los modelos de responsabilidad compartida y evitar errores críticos en la protección de datos SaaS
Cierre los ojos y piense en cuántas aplicaciones as-a-service está utilizando su organización en estos momentos. ¿Y si le dijera que ese número está más cerca de 10 veces su suposición original? ¿Y si le dijera que es 20 veces su suposición original?
Las aplicaciones XaaS, incluido el SaaS, van más allá de Microsoft 365. Se aplica a sus plataformas en la nube y a todos sus servicios subyacentes. Se aplica a su organización de marketing, a su equipo de ventas, a su grupo de finanzas, etc.
Aplicaciones SaaS: ¡en todas partes a la vez!
La organización mediana media utiliza bastante más de 200 aplicaciones SaaS y, según algunos informes de investigación, hasta el 71% se pagan fuera de TI. Para cualquiera de nosotros en TI, esto no es ninguna sorpresa. Es la realidad. En HYCU, lo hemos visto en nuestra propia organización y en muchos de nuestros clientes y socios, así como, desde organizaciones nativas digitales hasta empresas FORTUNE 500: esa realidad y el problema obvio son los mismos. He aquí un ejemplo de "pila tecnológica" que vemos a menudo en muchas organizaciones. Esto no incluye todos los servicios en la nube y las aplicaciones as-a-service asociadas con cualquier aplicación de producción en particular.
Muestra de pila tecnológica
Abordando la zona gris: Responsabilidad de los datos en SaaS
Hay muchas razones por las que el uso de aplicaciones SaaS es tan popular. Las aplicaciones SaaS aportan escala y flexibilidad. Una vez que se suscribe a cualquier aplicación SaaS, no tiene que preocuparse de la gestión in situ, los parches o la actualización de las ediciones del servidor/centro de datos. Visite la URL, inicie sesión y empiece a utilizarla. Y ya está. Realmente no hay nada más difícil que eso. Claro, hay muchas aplicaciones SaaS que se obtienen de forma gratuita y que le toman el pelo con características de actualización que puede o no necesitar, pero ese es un tema para otro día.
Sin embargo, la simplicidad de SaaS ha dado lugar a un malentendido masivo. Muchas empresas asumen que no son responsables de la seguridad, que no necesitan centrarse en ser responsables de la protección de datos, el cumplimiento, las copias de seguridad, etc. Es un malentendido popular y entendemos por qué la gente puede pensar así, pero es fundamentalmente erróneo. Y no sólo erróneo, sino peligroso. Desglosemos por qué y expliquemos con más detalle cuál es su responsabilidad en una aplicación o servicio en la nube o SaaS.
El sistema - Su proveedor es responsable del sistema, no del inquilino (usted).
Utilicemos un ejemplo, Jira Software, una aplicación de Atlassian. Es una de las aplicaciones más utilizadas del mundo. ¿No me cree? ¡Pregunte a cualquiera de sus desarrolladores o miembros del equipo de ingeniería! Una vez descargado o alojado como ediciones de servidor y centro de datos, Jira se utiliza principalmente en Atlassian Cloud. Nube Atlassian = SaaS.
Ahora, piense en Jira como el sistema y en Atlassian como su propietario y único responsable. Eso significa, como propietario, gestionar toda su infraestructura y seguridad, mantener las luces encendidas y mantener el sistema seguro y protegido.
El sistema - Su proveedor es el responsable del sistema, no el inquilino (usted).
El Inquilino - Usted es responsable de su cuenta y de sus datos, no su proveedor de servicios en la nube.
Si le gusta aprender visualmente como a mí, he aquí una buena analogía para comprender mejor la responsabilidad compartida de un sistema y un cliente. Piense en un aparcamiento. Cuando necesita encontrar aparcamiento, va a un garaje, paga y puede aparcar. El garaje es responsable de mantener las luces encendidas y garantizar la accesibilidad.
Pero, ¿qué ocurre con su coche? ¿Qué pasa si se raya, o alguien entra y roba algo o se sirve algo en su asiento trasero porque usted lo dejó abierto? El taller no es responsable de esto; lo es usted.
El garaje es el sistema; el coche son sus datos. Esto significa que usted es responsable de:
- Recuperar los datos/configuraciones que se pierdan (borrados, corrompidos, encriptados, etc.)
- Mantener copias de seguridad y copias seguras de sus datos con regularidad
- Cumplir los requisitos de conformidad de su organización (NIS2, DORA, etc.)
- Asegurar sus accesos y permisos dentro de su empresa
El inquilino - Usted es responsable de su cuenta y sus datos, no su proveedor de la nube
Aunque se trata de un modelo sencillo, la mayoría de los administradores de TI y propietarios de aplicaciones desconocen que existe. Debido a esto, vemos los mismos tres errores críticos que cometen las empresas:
Error nº 1 - Asumir que el proveedor de SaaS recuperará los datos por usted.
La pérdida de datos es un hecho, independientemente de la aplicación que utilice. Los borrados accidentales, los errores, la corrupción e incluso las amenazas internas son algo cotidiano. Normalmente, tal y como lo vemos, la primera reacción del cliente es asumir que puede pedir al proveedor de SaaS que recupere sus datos. Por supuesto, la mayoría de los proveedores de SaaS intentarán ayudar, pero la realidad es que no pueden hacerlo por usted. En todos los modelos de responsabilidad compartida, los proveedores mencionan explícitamente que la copia de seguridad de los datos, y la recuperación de los datos perdidos debe hacerse a partir de las copias de seguridad de los clientes.
El siguiente diagrama ilustra las áreas de responsabilidad entre usted y Microsoft
Error nº 2 - Suponer que las copias de seguridad a nivel de sistema son sus copias de seguridad.
Sí, las plataformas en la nube y las aplicaciones SaaS guardan sus copias de seguridad. Pero se trata de copias de seguridad a nivel de sistema utilizadas para la recuperación de desastres y escenarios de pérdida de datos dentro de su infraestructura. Estas copias de seguridad no son accesibles para las recuperaciones a nivel de inquilino.
¿Se aproxima un huracán o un apagón? No se preocupe, la plataforma en la nube dispone de alta disponibilidad a nivel de sistema, recuperación ante desastres y copias de seguridad para garantizar que su acceso y sus datos están intactos.
¿Uno de sus administradores ha borrado datos accidentalmente? Esa es su responsabilidad.
Por ejemplo, Salesforce mantiene copias de seguridad a nivel de sistema pero toma medidas directas para informar a los clientes de la importancia de realizar copias de seguridad de sus datos.
Mejores prácticas para realizar copias de seguridad de los datos de Salesforce
Error nº 3: no tomarse en serio la retención de datos y el cumplimiento de normativas.
Continuemos con la analogía del garaje. En caso de accidente o por imperativo legal, debe tener un seguro para su coche; no puede depender del seguro del garaje. Lo mismo se aplica al cumplimiento de la normativa.
No puede depender del SaaS para el cumplimiento de normativas si debe cumplirlas (por ejemplo, la HIPAA) o directivas respaldadas por el gobierno como NIS2 y DORA. Debe cumplir la normativa.
Por ejemplo, Las normativas NIS2 y DORA le exigen explícitamente que cree copias de seguridad, pruebe la recuperación y proporcione documentación que demuestre que ha completado todos los pasos necesarios. No puede utilizar las copias de seguridad a nivel de sistema para esto, debe utilizar las suyas.
NIS2 ordena que las entidades esenciales e importantes implementen medidas de seguridad básicas para hacer frente a formas específicas de probables ciberamenazas.
¿Qué significa todo esto? Significa que no caiga en el error que muchos pueden cometer antes de que sea demasiado tarde. Asegúrese de que tiene sus datos protegidos, de que puede hacer copias de seguridad y recuperarlos en el caso inevitable de un borrado accidental o de ataques malintencionados. Pero la mayoría de las veces empieza por saber qué tiene en su patrimonio de datos. Aunque resulta una conversación interesante saber exactamente cuántas aplicaciones SaaS o servicios en la nube tiene en funcionamiento en su entorno, a menudo ocurre que al no saberlo es donde empieza todo. Manténgase en sintonía mientras cubrimos por qué debe saberlo, y lo fácil que puede ser.
¿Interesado en saber más?
- Desmitificando la protección de datos SaaS: La verdad sobre la responsabilidad compartida
- Evitando el Apocalipsis de los Datos SaaS: El papel que desempeñará la protección de datos en la batalla por salvar nuestro futuro digital
- Para más detalles, regístrese para una demostración
- Eleve sus capacidades con R-Cloud
- AWS Modelo de responsabilidad compartida
- Desbloquee el potencial de R-Graph con una prueba exhaustiva
Andy Fernandez es el Director de Gestión de Productos de HYCU, una empresa de Atlassian Ventures. Toda la carrera de Andy se ha centrado en la protección de datos y la recuperación ante desastres para aplicaciones críticas. Anteriormente ocupó puestos de producto y GTM en Zerto y Veeam, el enfoque de Andy ahora es asegurar que las organizaciones protejan las aplicaciones críticas SaaS y Cloud a través de ITSM y DevOps. Cuando no está trabajando en la protección de datos, a Andy le encanta asistir a conciertos en directo, encontrar los lugares locales para comer e ir a la playa.
Obtenga las últimas novedades y actualizaciones
Gracias por enviar el formulario!
El archivo debería abrirse en una nueva pestaña. Si no es así, haga clic en el botón de abajo para descargarlo directamente.
Gracias por enviar el formulario!
Ya está disponible el vídeo del seminario web.