El Marco de Ciberseguridad del NIST de EE. UU. es una guía importante para la seguridad de aplicaciones SaaS. A pesar de la configuración diferente que se encuentra en cada aplicación, existen algunas configuraciones universales que se pueden aplicar a casi todas las aplicaciones SaaS para mejorar su postura de seguridad.
El control de acceso basado en roles (RBAC) debe aplicarse a todas las aplicaciones SaaS. Además, se debe implementar una redundancia limitada para cada aplicación de SaaS a fin de dificultar que un administrador actúe solo en contra de los intereses de la organización. Además, se debe evitar tener administradores externos para reducir la incertidumbre en la seguridad de SaaS.
Para cumplir con los estándares de NIST, se debe requerir que todas las cuentas de usuario de administrador accedan a la aplicación utilizando la autenticación multifactorial (MFA), como una contraseña de un solo uso (OTP). Esto mejora la resiliencia general de los sistemas de SaaS.
Las configuraciones para evitar las fugas de datos de SaaS representan riesgos significativos para las organizaciones y sus usuarios. Las configuraciones deben permitir la observación de los permisos de cada recurso y evitar la compartición pública para reducir la exposición. Además, se debe establecer una fecha de expiración automática en las invitaciones para evitar que las invitaciones enviadas años antes proporcionen acceso a un actor de amenazas.
Las contraseñas comprometidas pueden ser una puerta de entrada para que los actores malintencionados exploten vulnerabilidades en el entorno de SaaS. La gestión efectiva de contraseñas mejora la resiliencia general de los sistemas de SaaS. Para prevenir los ataques de rociado de contraseñas, se recomienda usar contraseñas largas en lugar de complejas y limitar los intentos de contraseña a no más de 10. La configuración es un factor importante relacionado con la seguridad de SaaS y debe ser revisada para asegurarse de que todas las aplicaciones estén seguras.
En general, aplicar los estándares de NIST a la pila de SaaS ayuda a mejorar la seguridad del sistema y la confianza de los clientes. Asegúrese de implementar todas estas configuraciones en su pila de SaaS para proteger mejor sus aplicaciones y datos.
Vía The Hacker News
