El modelo de SaaS facilita silenciosamente el acceso de ciberatacantes y,a medida que crece su adopción,crea una vulnerabilidad sustancial que debilita el sistema económico global,según advierte el CISO de JPMorgan Chase.
Crédito: Adobe Stock
Comparte
El Software como Servicio (SaaS) se ha convertido en la opción predeterminada y,a menudo,en el único formato en que se entrega el software,por lo que,a juicio de JPMorgan Chase,conlleva riesgos para las organizaciones por la concentración de la infraestructura crítica global en un pequeño grupo de proveedores de servicios líderes.
El banco más grande de Estados Unidos advirtió que,si bien el modelo ofrece eficiencia e innovación rápida,también erosiona décadas de límites de seguridad diseñados cuidadosamente,lo que magnifica el impacto de cualquier debilidad,interrupción o brecha de seguridad y crea puntos únicos de fallo con consecuencias “potencialmente catastróficas” para todo el sistema.
Según recuenta la institución,históricamente el software se distribuía en diversos entornos,cada uno con sus propias prácticas de seguridad,lo que limitaba inherentemente la escala de una sola brecha; mientras que,en la actualidad,los protocolos de integración modernos eliminan esos límites esenciales y ocasionan que un ataque a un proveedor importante de SaaS o Plataforma como Servicio (PaaS) pueda propagarse inmediatamente entre sus clientes.
Agregó que,en la práctica,los modelos de integración reducen la autenticación (verificación de identidad) y la autorización (concesión de permisos) a interacciones excesivamente simplificadas,lo que crea una confianza explícita de un solo factor entre los sistemas de Internet y los recursos privados.
Por ello,el director de Seguridad de la Información (CISO),Patrick Opet,advirtió,en una carta abierta a sus proveedores externos,que el cambio fundamental exige una “atención colectiva inmediata”.
Los proveedores de software deben priorizar la seguridad sobre la implementación acelerada de funciones y nuevos productos. La seguridad integral debe estar integrada o habilitada por defecto,de acuerdo con el CISO,quien enfatizó que existe un riesgo creciente en la cadena de suministro de software y necesita una intervención.
En ese sentido,exhortó a modernizar la arquitectura de seguridad para optimizar la integración de Software como Servicio (SaaS) y minimizar el riesgo. Y,además,dijo,los profesionales deben colaborar para prevenir el abuso de los sistemas interconectados.
Según Opet,en JPMorgan Chase han presenciado las señales de alerta de primera mano. El CISO detalló que,durante los últimos tres años,sus proveedores externos experimentaron varios incidentes en sus entornos en toda su cadena de suministro,que lo obligaron a actuar con rapidez y firmeza,en acciones que incluyeron el aislamiento de ciertos proveedores comprometidos y la asignación de recursos sustanciales a la mitigación de amenazas.
Por ello,hizo un llamado a priorizar la seguridad y alertó que sus riesgos van más allá de la concentración e incluso involucran a la competencia,que ha hecho que los proveedores de software prioricen el desarrollo rápido de funciones sobre una seguridad robusta,lo cual redunda en lanzamientos apresurados sin una seguridad holística integrada o habilitada por defecto.
Y,finalmente,exhortó a establecer nuevos principios de seguridad e implementar controles robustos que permitan la rápida adopción de servicios en la Nube,al tiempo que protegen a los clientes de las vulnerabilidades de sus proveedores. “La manera más efectiva de iniciar el cambio es rechazar estos modelos de integración sin mejores soluciones. Espero que me acompañen en la identificación de este desafío y en la respuesta decisiva,colaborativa e inmediata”,concluyó.
