¿Qué es el control de acceso?
El control de acceso en la seguridad de SaaS hace referencia a los métodos y directivas implementados para regular el acceso de los usuarios a las aplicaciones SaaS y a sus datos asociados. Implica la gestión de permisos, roles y mecanismos de autenticación para garantizar que solo las personas y las cuentas no humanas autorizadas puedan acceder a la plataforma de SaaS y sus recursos. El control de acceso en la seguridad de SaaS suele emplear técnicas como la autenticación multifactor, el control de acceso basado en roles (RBAC) y configuraciones de permisos detalladas para mitigar riesgos asociados al acceso no autorizado, brechas de datos y amenazas internas. Las organizaciones pueden implementar medidas de control de acceso para proteger sus datos confidenciales y garantizar el cumplimiento de los requisitos normativos en el entorno de SaaS.
Guía completa para diseñar una estrategia de protección de la identidad
Da el primer paso hacia una posición de seguridad de la identidad y descarga la Guía completa para diseñar una estrategia de protección de la identidad y defender así el panorama de la identidad digital de tu empresa desde hoy mismo.
Descargar ahora¿Qué opciones tienen las organizaciones para controlar el acceso a sus aplicaciones SaaS?
Las organizaciones pueden controlar el acceso a sus aplicaciones SaaS de las siguientes formas:
Directiva de contraseñas
Las contraseñas deberían cumplir unos criterios específicos de complejidad, como tener una longitud mínima, así como incluir letras mayúsculas y minúsculas, números y caracteres especiales. Algunas organizaciones obligan a cambiar periódicamente de contraseña, pero otras prefieren que los usuarios sigan usando la misma contraseña segura durante largos periodos de tiempo. La mayoría de las organizaciones piden a los usuarios que no utilicen la misma contraseña para diferentes cuentas.
Inicio de sesión único (SSO)
El SSO permite a los usuarios acceder a varias aplicaciones SaaS con un solo conjunto de credenciales, lo que facilita la autenticación y mejora la experiencia del usuario, al tiempo que garantiza la seguridad.
Autenticación multifactor (MFA)
Las contraseñas por sí solas no son suficientes para proteger contra el acceso no autorizado en aplicaciones SaaS, ya que se pueden adivinar, robar o descifrar con facilidad mediante técnicas como el phishing o la fuerza bruta. La autenticación multifactor añade una capa adicional de seguridad, ya que obliga a los usuarios a identificarse de varias formas para obtener acceso. Esto puede incluir un dato que conocen (contraseña), un elemento que poseen (smartphone) o un rasgo personal (huella dactilar o rostro).
Al implementar la autenticación MFA, aunque un ciberdelincuente consiga la contraseña de un usuario, seguiría necesitando el segundo factor de autenticación, lo que dificultaría considerablemente que los usuarios no autorizados puedan causar una brecha en el sistema.
Control de acceso basado en roles (RBAC)
El control de acceso basado en roles (RBAC) es un modelo de control de acceso muy extendido en la seguridad de SaaS. Consiste en clasificar a los usuarios por roles según sus responsabilidades laborales y otorgarles permisos en consecuencia.
Esto permite a los equipos de seguridad implementar el principio del mínimo de privilegios (POLP), una estrategia que consiste en conceder a los usuarios y aplicaciones el nivel mínimo de acceso necesario para realizar sus tareas. El objetivo de este enfoque es reducir el posible impacto de las brechas de seguridad o actividades no autorizadas. El RBAC facilita la gestión de accesos, ya que reduce la carga administrativa y garantiza un enfoque de seguridad escalable y fácil de manejar.
Por ejemplo, en una aplicación SaaS de CRM, es posible asignar permisos a un representante de ventas para acceder a los datos de los clientes y actualizar registros, mientras que un agente del servicio de atención al cliente podría tener permisos de acceso de solo lectura a los mismos datos.
Revisiones periódicas del acceso de los usuarios
Es fundamental revisar periódicamente el acceso para que los usuarios puedan acceder solamente a los recursos que necesitan para sus responsabilidades actuales. Esto reduce el riesgo asociado a las cuentas inactivas o al acceso no autorizado a datos confidenciales. Las organizaciones necesitan ver y desaprovisionar adecuadamente a antiguos empleados, cuentas inactivas y usuarios externos.
Los antiguos empleados deben someterse a un proceso de desaprovisionamiento. Muchas organizaciones piensan que el desaprovisionamiento tiene lugar automáticamente cuando se elimina al usuario del proveedor de identidad (IdP) de la empresa, pero no siempre es así. Del mismo modo, las cuentas de usuario externas pueden permanecer activas una vez que finalizan los proyectos si el acceso de los usuarios no se revoca correctamente o en su debido momento. Esto impide a la organización saber quién tiene acceso a sus datos confidenciales, salvo que realice una revisión y tome la decisión de cerrar la cuenta de usuario.
Logs de auditoría y monitorización
Deberían implementarse unos mecanismos exhaustivos de generación de logs y monitorización para poder rastrear la actividad de los usuarios dentro de la aplicación SaaS. Los logs de auditoría pueden ayudar a identificar comportamientos sospechosos, posibles brechas de seguridad o casos de incumplimiento de las directivas. La monitorización en tiempo real de estos logs permite una respuesta inmediata ante cualquier incidente de seguridad.
Prácticas recomendadas para el control de acceso de SaaS
Muchas organizaciones se ven en la obligación de permitir que ciertos usuarios externos accedan a sus aplicaciones SaaS para facilitar la colaboración con agencias o contratistas. Sin embargo, las organizaciones deben tener cuidado cuando proporcionen acceso a usuarios externos. A continuación, presentamos varias prácticas recomendadas a la hora de colaborar con usuarios externos.
- Limita los privilegios: no proporciones derechos de administrador a los usuarios externos. Su acceso debería limitarse a lo estrictamente necesario.
- Establece un método de autenticación obligatorio para los usuarios: no permitas que los usuarios externos puedan acceder a los documentos con un simple enlace. Solicita algún tipo de autenticación.
- No permitas el uso compartido de contraseñas: impide el uso compartido de contraseñas entre usuarios externos para tenerlo todo bajo control.
- Limita las invitaciones a la aplicación: si es posible, configura una fecha de vencimiento para las invitaciones para que no puedan utilizarse para obtener acceso una vez que termine el proyecto.
- Elimina el acceso cuando sea necesario: elimina el acceso a los usuarios cuando termine el proyecto.
¿Existe alguna diferencia a la hora de controlar el acceso entre cuentas humanas y cuentas no humanas?
A las aplicaciones SaaS pueden acceder tanto cuentas humanas como cuentas no humanas. Las cuentas humanas suelen utilizar nombres de usuario y contraseñas, la autenticación MFA y el SSO para acceder. Las cuentas no humanas suelen recibir permisos cuando se crean y nunca se les solicita un método secundario de autenticación.
Las organizaciones suelen pasar por alto las cuentas no humanas a la hora de controlar el acceso a sus aplicaciones. Sin embargo, al no tener ningún tipo de restricción, se convierten en un objetivo muy codiciado por los atacantes. Las organizaciones deben monitorizar las cuentas no humanas a través de su inventario de usuarios y asegurarse de que no tienen asignado un número excesivo de permisos. Es necesario monitorizar las configuraciones de cuentas no humanas para verificar que existen controles que limiten los privilegios que se conceden a este tipo de cuentas.
Resumen de la solución CrowdStrike Falcon® Shield
Descarga el resumen de la solución Falcon Shield para descubrir cómo esta solución SSPM te permite aprovechar al máximo tus controles de seguridad de SaaS.
Descargar resumen de la solución Falcon ShieldSimplifica el control de acceso de SaaS con CrowdStrike
La adopción de soluciones de SaaS no para de crecer, lo que obliga a las organizaciones a establecer un control de acceso sólido para garantizar su seguridad. Las organizaciones deben implementar un RBAC bien estructurado que combine permisos basados en roles, autenticación multifactor, revisiones periódicas del acceso de los usuarios y una monitorización exhaustiva.
Mediante la adopción de un enfoque proactivo para el control de acceso, las empresas pueden mejorar la protección de sus aplicaciones SaaS frente a accesos no autorizados y posibles ciberamenazas. Asimismo, una estrategia sólida de control de acceso transmite confianza a usuarios, clientes y socios, lo que contribuye al correcto funcionamiento y la seguridad del entorno SaaS.
CrowdStrike Falcon® Shield permite a las organizaciones controlar el acceso a sus aplicaciones SaaS confidenciales utilizando para ello su inventario de usuarios y permisos, y monitorizando la actividad de los usuarios.
Soluciones de seguridad de la identidad CrowdStrike
Descubre las soluciones de seguridad de la identidad de CrowdStrike
- Detección y respuesta ante amenazas de identidad: detección de brechas en tiempo real mediante la mitigación proactiva de amenazas.
- CrowdStrike Falcon® Complete Next-Gen MDR: protección de identidades totalmente gestionada con monitorización 24/7.
- Zero Trust: aplicación de los principios Zero Trust en todos los entornos.
Protege tus recursos digitales con CrowdStrike Falcon® Next-Gen Identity Security y evita ataques basados en la identidad antes de que se produzcan.
