Estamos acostumbrados a pensar en proteger las plataformas de software como servicio (SaaS) y la nube como dos bestias separadas. Esta separación surge de la forma en que SaaS y la nube pública surgieron por primera vez como soluciones puntuales pequeñas y una extensión del centro de datos tradicional, respectivamente. Hoy en día, debido a la llegada del código bajo, esta separación es incorrecta y nos impide ver lo que está frente a nuestros ojos. El código bajo hace que las plataformas SaaS formen parte de la nube pública, un lugar donde los desarrolladores crean múltiples aplicaciones en lugar de consumir una sola: una plataforma en la nube.
No cambiar nuestra forma de pensar nos lleva a donde nos encontramos hoy, donde esas aplicaciones quedan abandonadas sin visibilidad de seguridad. Y para empeorar las cosas, las aplicaciones de código bajo están integradas directamente en plataformas como Salesforce y Microsoft Dynamics, que todos usamos y que contienen nuestros datos comerciales más confidenciales.
¿Cómo llegamos aquí?
Las historias de orígenes siempre son interesantes porque explican algo fundamental sobre la forma en que percibimos al héroe de la historia. Mientras que SaaS comenzó como una extensión de la red corporativa, la nube pública comenzó como una extensión del centro de datos. Esos puntos de partida tan diferentes explican por qué la seguridad de SaaS comenzó con la TI en la sombra (protegiendo el perímetro) y la seguridad de la nube pública comenzó con la protección de la carga de trabajo (servidores de elevación y cambio y sus agentes de red/host). Esto también significó que diferentes equipos de seguridad tuvieran la tarea de proteger SaaS y la nube, lo que por supuesto condujo a una separación de herramientas, diferentes modelos de amenazas y, lo más importante, a la formación de diferentes mentalidades de seguridad.
Tanto SaaS como la nube pública han evolucionado drásticamente desde aquellos primeros días. Los proveedores de nube pública introdujeron paradigmas informáticos cada vez más granulares, introduciendo gradualmente infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y tecnología sin servidor para ayudar a los desarrolladores a centrarse en el problema empresarial en cuestión. También crearon un ecosistema completo de soluciones listas para usar para problemas complejos pero comunes: identidad, permisos, registro, configuración e implementación, por nombrar algunos.
SaaS solía significar una solución puntual para un problema específico. Salesforce comenzó como CRM, ServiceNow como sistema de tickets y Office365 como correo electrónico, hojas de cálculo, documentos y diapositivas. (Si bien se trata de más de una solución, éstas son muy específicas). Compare esto con la actualidad: los desarrolladores de Salesforce están creando aplicaciones para casi cualquier necesidad empresarial Además de la plataforma Salesforce, las aplicaciones de código bajo de ServiceNow son manejando casi cualquier cosa desde recursos humanos hasta procesos de salud y finanzas, y Power Platform, la plataforma de código bajo de Microsoft integrada en Office365, está siendo utilizada por más de 20 millones de usuarios en toda la industria para resolver cada necesidad empresarial, desde la productividad hasta las adquisiciones y los procesos relacionados con COVID.
Claramente, éstas se han convertido en plataformas de desarrollo de aplicaciones de nivel empresarial, y no en soluciones puntuales a problemas comerciales específicos. Hoy en día, muchos desarrolladores optan por crear sus aplicaciones en abstracciones proporcionadas por la plataforma, ya sean funciones sin servidor en la nube pública o bloques de construcción extensibles en plataformas SaaS de código bajo.
La introducción de los desarrolladores de negocios
Comparar cómo comenzaron las plataformas SaaS y dónde se encuentran ahora muestra claramente qué tan lejos han llegado con respecto a sus versiones anteriores. Pero todavía hay un cambio importante que aún no hemos mencionado: la introducción de desarrolladores de negocios.
Las plataformas SaaS de código bajo obtienen su poder de los datos que mantienen y de sus usuarios existentes. Ambos no se limitan a TI, sino que se inclinan fuertemente hacia el negocio. Tener acceso tanto a datos comerciales como a usuarios comerciales significa que SaaS está en la posición perfecta para abordar el problema más urgente que enfrentan muchas empresas hoy en día: la transformación digital.
Con una escasez global de desarrolladores y la dificultad de agilizar un proceso empresarial con tantas partes interesadas, las plataformas de código bajo introducen un atajo que permite a los usuarios empresariales agilizar sus procesos ellos mismos sin esperar a TI.
El código bajo está despegando entre los usuarios empresariales, hasta tal punto que en su discurso de apertura de Inspire 2019, el director ejecutivo de Microsoft, Satya Nadella discutió la oportunidad de código bajo para empoderar a las personas y crear nuevos trabajos administrativos tal como lo hizo Excel.
Así como la nube pública es una plataforma de desarrollo de aplicaciones que permite a los desarrolladores centrarse en su lógica empresarial, las plataformas SaaS se han convertido en plataformas de desarrollo de aplicaciones que utilizan código reducido para permitir a los usuarios empresariales convertirse en desarrolladores y abordar cualquier necesidad empresarial.
SaaS ahora se centra en nuevos tipos de desarrolladores que abordan una amplia gama de necesidades empresariales no satisfechas con aplicaciones dedicadas, creando un nuevo tipo de nube: la nube empresarial.
Asegurar el código bajo como una extensión de la nube
Al darnos cuenta de que algunas plataformas SaaS son ahora plataformas de desarrollo de aplicaciones y una extensión de la nube, deberíamos reexaminar la responsabilidades para proteger esas aplicaciones y ponerlas bajo el paraguas del equipo de seguridad.
Deberíamos tratar plataformas como Salesforce, ServiceNow y Office365 de la misma manera que tratamos a AWS, Azure y GCP, donde nos centramos en las aplicaciones que se crearon y están alojadas en estas plataformas de desarrollo de aplicaciones en lugar de tratar toda la plataforma como una sola aplicación. .
La TI en la sombra, por ejemplo, sigue siendo un problema con un número cada vez mayor y más pequeño de SaaS de solución puntual. Pero no tiene sentido tratar cualquier plataforma mencionada anteriormente como una única aplicación para descubrir y catalogar. En lugar de ello, deberíamos descubrir y catalogar las aplicaciones creadas con esas plataformas, y hay decenas de miles de ellas. En la mayoría de las organizaciones, esta enorme complejidad se esconde detrás de una sola línea en un inventario de aplicaciones.
Las aplicaciones creadas con plataformas SaaS de código bajo deben ser examinado con el mismo rigor de seguridad que utilizamos para las creadas en la nube porque, al final del día, una aplicación es una aplicación, sin importar dónde se haya creado y alojado.
Lo que sí importa para la seguridad de nuestras aplicaciones empresariales son las personas, los procesos y las herramientas que intervienen en la creación, el mantenimiento y la protección de esas aplicaciones. Para las aplicaciones creadas en la nube, contamos con desarrolladores profesionales, procesos CI/CD automatizados y varias herramientas de seguridad, desde escaneo de código y análisis dinámico hasta monitoreo y prevención del tiempo de ejecución. Para aplicaciones creadas en plataformas SaaS de código bajo, contamos con algunos desarrolladores profesionales, pero también con usuarios comerciales que están no es experto en seguridad, con las pocos o ningún proceso de implementación y sin controles ni garantías de seguridad.
Pensar en las plataformas de código bajo como parte de SaaS nos hace difícil ver que una enorme parte de nuestras aplicaciones empresariales ahora las construye la empresa, fuera de TI y fuera del control de seguridad. Para comenzar a ver el problema y descubrir nuestro enfoque, debemos cambiar nuestra mentalidad para reconocer las plataformas de código bajo como parte de la nube y tratar las aplicaciones en esas plataformas como lo hacemos con cualquier otra aplicación.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
