El modelo SaaS entusiasma y a veces preocupa. En la actualidad los datos se han convertido en uno de los activos más importantes de las organizaciones de tal manera que estos se ven involucrados en diferentes amenazas como pérdida, robo, modificación entre otras vulnerabilidades por lo que deben mantenerse de forma segura.
Los autores de este artículo realizaron una encuesta con el fin de obtener una imagen clara de los principales desafíos que rodean a SaaS, recogieron y analizaron los aportes de los usuarios finales y expertos de la industria. La principal preocupación es la seguridad y privacidad de los datos, la cual en la tabulación obtuvo el porcentaje mayoritario.
En el modelo SaaS, los datos residen en la base que se encuentra fuera de los límites de la empresa y depende de las medidas de seguridad que utilice el proveedor para proteger los datos de una forma adecuada.
Por otro lado las organizaciones que hacen uso de SaaS no tienen idea de qué tan fuerte es el sistema de control de acceso para evitar el ingreso no autorizado. El canal de transmisión entre proveedores y usuarios de SaaS no siempre se considera seguro.
A continuación se muestra los principales riesgos en la seguridad de datos a los que están expuestas las organizaciones que hacen uso de las aplicaciones SaaS.
Se afirma que los proveedores utilizan SSL (Secure Socket Layer), un estándar de facto para proporcionar transacciones de comercio electrónico seguras a través de la Web. Es popular por permitir el cifrado del tráfico HTTP entre los sitios web y los navegadores, pero también ampliamente utilizado para otras aplicaciones, tales como las transferencias de mensajería instantánea y correo electrónico, estos proveedores utilizan este estándar durante la primera sesión de inicio, dejando sin protección los datos en las siguientes sesiones.
Además las copias de seguridad y recuperación de datos deben ser tomadas en consideración por el proveedor de SaaS para minimizar el impacto de los accidentes.
Las propiedades básicas de seguridad de la información son TAN (confidencialidad, integridad, disponibilidad, autenticidad y no rechazo). Teniendo en cuenta que el SaaS se ocupa de las aplicaciones, los datos y la información, también debe proveer un nivel similar de seguridad.
El concepto de seguridad de los datos en el entorno SaaS atraviesa varias áreas, que incluye confidencialida, la disponibilidad, integridad, los datos de autorización, copia de seguridad y recuperación, transferencia de datos, etc.
En algunos casos los proveedores utilizan el testigo homomorphic, según [94] este es considerado como uno de los métodos prometedores para ser empleados en la red inteligente para proporcionar privacidad de los datos, la técnica de contadores homomorphic es altamente eficiente y resistente al fracaso bizantino, el ataque de modificación de datos maliciosos e incluso conspiración de servidores. [95]
El tema relacionado con la seguridad de los datos dentro de SaaS puede ser clasificado en cinco grupos:
- Almacenamiento de datos.
- Control de acceso.
- Backup y recuperación de datos
- Integridad de datos.
- Seguridad de transferencia de los mismos.
Fuente: Universidad Nacional de Loja, Análisis de la seguridad de datos en la arquitectura de Software como Servicio (SaaS), Esther Elizabeth Jaramillo Malla.
Adaptado por la División Consultoría de EvaluandoSoftware.com