Por motivos prácticos y de seguridad, numerosas empresas, generalmente del mundo de las TI, han optado por el Cloud Computing. En concreto han empezado a consumir software como servicio, lo que se conoce como SaaS por sus siglas en inglés.
Las SaaS aportan todo tipo de soluciones a las empresas de forma remota, desde un simple webmail, hasta aplicaciones de mayor envergadura, utilizadas para la planificación empresarial y la gestión de clientes. Por tanto, es necesario implementar un sistema que permita identificar a cada usuario de manera segura, como pueda ser la doble autenticación.
Los entornos SaaS reportan una serie de beneficios para las empresas, liberando a los departamentos de TI. En primer lugar, no tienen que desarrollar software específico para la gestión, y en segundo lugar no han de instalar software en local, por lo que se pueden desentender de las tareas de actualización y mantenimiento. Esto reduce los gastos tanto en equipamiento informático como los de adquirir licencias de software.
La flexibilidad del SaaS permite contratar estos servicios solo cuando son necesarios, en función de la escalabilidad del negocio. Además, dado que los usuarios trabajan de manera remota desde un navegador web, pueden ser consumidos desde cualquier dispositivo.
Con todo, la mayor de las ventajas que aporta un sistema SaaS es la seguridad. Tanto para la integridad de los archivos de la empresa como para estar preparados ante posibles ciberataques.
La seguridad en SaaS tiene dos vertientes. Por un lado, las compañías que proveen estos servicios deben blindar sus sistemas y servidores, de tal forma que la información de los usuarios no quede comprometida en ningún momento.
Para ello es importante tener una buena política de actualizaciones, ofreciendo siempre las últimas versiones probadas del sistema operativo y de las aplicaciones de servicios. Los equipos de seguridad deben estar al tanto de las posibles vulnerabilidades y los parches necesarios para evitarlas.
Las empresas SaaS, se proveen de las mejores herramientas de seguridad, con programas para la detección y protección de malwares, así como para la encriptación de la información de sus clientes.
Por otro lado, el control de acceso y la gestión de usuarios es parte fundamental en el sistema de seguridad que deben gestionar los proveedores. Se trata de evitar secuestros de sesión que permitan el acceso a información a terceros. Por esto el método de doble autenticación se hace necesario, para confirmar la veracidad de las credenciales de cada usuario.
Asimismo, debe gestionar correctamente los perfiles de usuario, las altas, las modificaciones y las bajas. Es fundamental que no exista un limbo de usuarios, que en un momento dado no deberían tener más acceso a los contenidos de una empresa.
Por último, en orden de mantener la integridad de la información de las empresas, se debe asegurar un sistema de copias de seguridad, que garanticen que no se perderá información, ya sea por ataques externos o por fallos en el hardware.
Si bien casi todo el peso recae sobre los proveedores, las empresas que contratan SaaS no pueden descuidar las medidas propias de seguridad. Estas empresas pueden incurrir en el error de desentenderse de la seguridad, prescindiendo de sus departamentos TI, lo cual puede generar brechas en las seguridad.
Para evitar esto, las compañías tienen que formar a toda su plantilla en medidas de ciberseguridad básicas, para evitar malas praxis. Es esencial entender el funcionamiento de la doble autenticación, aprender a generar una contraseña segura y dónde almacenarla adecuadamente. Cuanta más información tenga el usuario final, más protegido estará ante el uso de técnicas de ingeniería social.
Por su parte también hay que atender la seguridad en el endpoint. Cada uno de los dispositivos desde donde se va a trabajar debe contar con protección y el mantenimiento adecuado, que garanticen un acceso seguro a la plataforma.
El objetivo de este método es utilizar dos o más formas de identificación distintas, que permitan autentificar con mayor certeza a un usuario dentro de un sistema, para evitar suplantaciones malintencionadas.
El clásico sistema de usuario y contraseña como única opción de identificación es cada vez más vulnerable. Es complicado memorizar series alfanuméricas aleatorias, así que tendemos a crear cadenas cortas y fáciles de descodificar. Por otro lado, a través de un software malicioso como pueda ser un troyano, es posible acceder a esas claves.
Por esto, añadir capas de seguridad extra hará más complicado de suplantación de identidad por parte de los ciberdelincuentes. Podemos clasificar los de métodos de autenticación en tres grupos.
Sistema basado en el conocimiento del usuario, como pueda ser la memorización de una contraseña o un dato biográfico privado.
Basados en las pertenencias tangibles del usuario. Puede ser su dispositivo móvil, tarjeta de coordenadas, documentos de identidad o un token con el que generar códigos seguros.
Basados en la identificación de las características físicas y biométricas de los usuarios. El iris, las huellas dactilares, el reconocimiento facial o de la voz, entre otros.
La combinación más utilizada para acceder a una plataforma SaaS, es el uso de una contraseña segura, además de un código que se envía a través de un SMS. Por su parte las entidades bancarias solían optar por un PIN y una tarjeta de coordenadas.
Por lo general, los proveedores SaaS utilizan la doble autentificación como complemento opcional, aunque en algunos casos es de obligada utilización, sobre todo a nivel empresarial, ya que es posible acceder a información vital de la empresa.
En definitiva, vivimos con un sistema donde la información digital es el núcleo de nuestras operaciones. Las fuentes de ataques que pretenden apoderarse ilegítimamente de información ajena o que intentan secuestrar empresas para cobrar generosos rescates, son múltiples y cada vez más peligrosas.
Por tanto, es imprescindible un sistema de seguridad fuerte, que reduzca en la medida de lo posible el riesgo de ser atacado. En este sentido parece una solución más que rentable y eficaz contratar servicios SaaS, sobre todo para las pymes, que no pueden afrontar en solitario la lucha contra la ciberdelincuencia.
Para que trabajar con Cloud Computing sea realmente seguro, el método de doble autenticación se convierte en una llave de acceso más compleja y por tanto segura, y aunque no exista ningún método inquebrantable, cuantas más capas de seguridad interpongamos entre nuestra información y los agentes externos, mayor será la protección.
En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.