DoControl, firma de ciberseguridad SaaS respaldada por inversores como Insight Partners o Cardumen Capital, ha publicado el Informe del Estado de la Seguridad de Datos en Aplicaciones SaaS 2024.
Según dicho estudio, las empresas están generando aproximadamente 286.000 nuevos activos SaaS, como archivos o grabaciones, cada semana.
Además, se descubrió que uno de cada seis empleados había compartido datos de la empresa con su correo electrónico personal.
Estos hallazgos subrayan la urgente necesidad de elaborar estrategias de seguridad integrales para mitigar las amenazas internas, controlar la exposición de datos, gestionar permisos de acceso obsoletos y regular aplicaciones OAuth de terceros con exceso de permisos.
1 de Cada 6 empleados comparte datos de la empresa con su correo electrónico personal
“En el mundo digitalizado de hoy, todos dependemos de las aplicaciones SaaS para mejorar la productividad y la colaboración,” dijo Adam Gavish, CEO y Cofundador de DoControl.
“El simple hecho de que la empresa promedio manejara 22,8 millones de activos SaaS al final de 2023, un aumento del 189% desde enero del mismo año, reafirma la necesidad de que las empresas consideren cada vez más el fortalecimiento de sus protocolos de seguridad actuales. Una postura de ciberseguridad SaaS deficiente no solo supone un riesgo de posibles brechas de datos, sino que también puede dañar significativamente la reputación de marca y los resultados comerciales en general”.
Índice de temas
Seguridad en aplicaciones SaaS
El Informe del Estado de la Seguridad de Datos en Aplicaciones SaaS 2024 cuantifica el volumen, tipos y riesgo de exposición de activos empresariales almacenados dentro de aplicaciones SaaS de compañías públicas y privadas en múltiples industrias con más de 1.000 empleados dentro de Estados Unidos y Europa, Oriente Medio y África (EMEA). Los hallazgos cubiertos en el informe se dividen en cuatro categorías diferentes:
Amenazas Internas
Ya sea por accidente o intencionalmente, los empleados pueden exfiltrar propiedad intelectual confidencial e información de clientes, exponiendo a las empresas a extorsión financiera y un daño devastador para la marca.
DoControl encontró un aumento del 182% en empleados compartiendo activos propiedad de la empresa con su correo electrónico personal.
En 2023, los hallazgos mostraron que la empresa promedio tenía uno de cada 6 empleados compartiendo datos con su cuenta de correo electrónico personal (1.3 millones de activos).
El informe también encontró 5.860 claves de cifrado almacenadas en aplicaciones SaaS. Aunque las empresas pueden sentirse seguras almacenando activos en varias aplicaciones, es vital que se lleve a cabo un esfuerzo de monitorización exhaustivo.
Con estos aumentos tan significativos, rastrear manualmente los activos sensibles se vuelve insostenible, exponiendo aún más a las empresas a riesgos y a que los datos caigan en manos equivocadas.
Exposición de Datos
Cuando los archivos se comparten con partes externas a través de aplicaciones SaaS para colaboración más allá del perímetro de seguridad de la empresa, el control de la propiedad intelectual y los datos de una empresa puede volverse extremadamente tenue.
DoControl encontró que la exposición pública de 35.000 activos sensibles refleja una laguna significativa en la gestión de datos y controles de acceso.
El informe descubrió además un aumento del 49% en activos sensibles expuestos a nivel empresa.
Para reducir la potencial exposición al riesgo, las empresas necesitan limitar la compartición externa implementando permisos de privilegio mínimo y eliminando el acceso
Además, a lo largo de 2023, una empresa promedio tuvo 21.000 nuevos activos expuestos externamente cada semana, con la conocida plataforma ‘Slack’ presenciando un crecimiento del 107% en activos expuestos externamente.
Para reducir la potencial exposición a este riesgo, las empresas necesitan limitar la compartición externa implementando permisos de privilegio mínimo y eliminando el acceso cuando los activos ya no son necesarios para las partes con las que se compartieron.
Permisos de Acceso Obsoletos
No es sorprendente que los permisos de acceso obsoletos continúen representando un riesgo significativo para las empresas de todo el mundo.
Los hallazgos en el informe de este año mostraron que el 90% de las empresas tuvieron ex-empleados accediendo a aplicaciones SaaS incluso aún después de su partida.
Es vital considerar que incluso un solo ex-empleado, especialmente uno descontento, puede representar un riesgo inaceptable.
El 90% de las empresas tuvieron ex-empleados accediendo a aplicaciones SaaS incluso aún después de su partida
Una forma adicional de permisos obsoletos es el acceso continuo a activos SaaS que ya no son necesarios o no apoyan los objetivos comerciales o de negocio.
DoControl encontró que el 100% de las empresas encuestadas tenían activos de más de cinco años de antigüedad compartidos externamente aún almacenados en Google Workspace.
Además, un promedio del 5% de los activos de Google Drive están compartidos externamente y no se han accedido durante 90 días o más.
Estos números indican una extensa superficie de ataque no monitorizada con riesgo de posibles brechas de datos.
Aplicaciones OAuth de Terceros con Exceso de Permisos
Las aplicaciones a menudo permiten integraciones con terceros para hacer que los flujos de trabajo sean más eficientes, convenientes o productivos.
Sin embargo, las aplicaciones de terceros también pueden representar una amenaza para las empresas, especialmente cuando se les otorgan permisos de lectura y escritura innecesarios.
Al otorgar acceso innecesario a aplicaciones que pueden no tener controles de seguridad adecuados, se abre la puerta a riesgos que podrían haberse evitado.
De las 29.000 aplicaciones de terceros instaladas por las organizaciones en 2023, el 90% no se habían utilizado en los últimos 30 días
De hecho, DoControl encontró que el 65,5% de estas aplicaciones de terceros no requerían el nivel de acceso otorgado y, de las 29.000 aplicaciones de terceros instaladas por las organizaciones en 2023, el 90% no se habían utilizado en los últimos 30 días, ilustrando aún más el problema generalizado de aplicaciones que representan un riesgo de seguridad significativo e innecesario.
DoCogo.