Seguridad como servicio

Modelo de negocio para la externalización de la seguridad del software

La seguridad como servicio ( SECaaS ) es un modelo de negocio en el que un proveedor de servicios integra sus servicios de seguridad en una infraestructura corporativa mediante suscripción de manera más rentable que la que la mayoría de individuos o corporaciones pueden proporcionar por su cuenta cuando se considera el costo total de propiedad . ^[1] SECaaS está inspirado en el modelo de " software como servicio " aplicado a los servicios de tipo seguridad de la información y no requiere hardware local, lo que evita desembolsos de capital sustanciales. ^{[2] [3]} Estos servicios de seguridad a menudo incluyen autenticación , antivirus , antimalware / spyware, detección de intrusiones , pruebas de penetración, ^[4] y gestión de eventos de seguridad, entre otros. ^[5]

La concesión de licencias y la prestación de servicios de seguridad externalizados se están convirtiendo en un mercado multimillonario. ^[6] SECaaS ofrece a los usuarios servicios de seguridad en Internet que les protegen de amenazas y ataques en línea como DDoS , que buscan constantemente puntos de acceso para comprometer sitios web. ^[7] A medida que la demanda y el uso de la computación en la nube se disparan, los usuarios son más vulnerables a los ataques debido a que acceden a Internet desde nuevos puntos de acceso . SECaaS actúa como un amortiguador contra las amenazas en línea más persistentes. ^[8]

Categorías de SECaaS

La Cloud Security Alliance (CSA) es una organización que se dedica a definir y generar conciencia sobre la seguridad de la computación en la nube. Para ello, la CSA ha definido las siguientes categorías de herramientas SECaaS y ha creado una serie de documentos de orientación técnica y de implementación para ayudar a las empresas a implementar y comprender SECaaS. ^[9] Estas categorías incluyen:

• Continuidad del negocio y recuperación ante desastres (BCDR o BC/DR)
• Monitoreo continuo
• Prevención de pérdida de datos (DLP)
• Seguridad del correo electrónico
• Encriptación
• Gestión de identidad y acceso (IAM)
• Gestión de intrusiones
• Seguridad de la red
• Evaluación de seguridad
• Pruebas de penetración
• Gestión de eventos e información de seguridad (SIEM)
• Análisis de vulnerabilidades
• Seguridad web

Modelos SECaaS

SECaaS normalmente se ofrece en varias formas:

• Suscripción
• Pago por servicios utilizados
• Software gratuito. Algunas funciones son gratuitas y hay que pagar para añadirlas: por ejemplo, AWS , nmap.online, IBM Cloud.
• Gratuito: algunos ejemplos son Cloudbric, CloudFlare e Incapsula .

Beneficios

La seguridad como servicio ofrece una serie de beneficios, ^[10] entre ellos:

• Reducción de costos: SECaaS alivia las restricciones y cargas financieras de las empresas en línea, integrando servicios de seguridad sin hardware local ni un gran presupuesto. El uso de un producto de seguridad basado en la nube también evita la necesidad de contratar a analistas y expertos en seguridad costosos. ^[11]
• Protección consistente y uniforme: los servicios SECaaS brindan protección continua, ya que las bases de datos se actualizan constantemente para brindar una cobertura de seguridad actualizada. También alivia el problema de tener infraestructuras separadas, en lugar de combinar todos los elementos en un sistema manejable.
• Actualizaciones constantes de definiciones de virus que no dependen del cumplimiento del usuario
• Mayor experiencia en seguridad de la que normalmente está disponible dentro de una organización
• Aprovisionamiento de usuarios más rápido
• Subcontratación de tareas administrativas, como la gestión de registros, para ahorrar tiempo y dinero y permitir que una organización dedique más tiempo a sus competencias principales
• Una interfaz web que permite la administración interna de algunas tareas, así como una vista del entorno de seguridad y las actividades en curso.

Desafíos

SECaaS tiene una serie de deficiencias que lo hacen inseguro para muchas aplicaciones. Cada solicitud de servicio de seguridad individual agrega al menos un viaje de ida y vuelta por la red (sin contar los paquetes de instalación), cuatro oportunidades para que el hacker intercepte la conversación:

1. En el punto de conexión de envío subiendo
2. En el punto de conexión de recepción subiendo
3. En el punto de envío para la devolución; y
4. En el punto de recepción para la devolución.

SECaaS hace que todo el manejo de la seguridad sea uniforme, de modo que, una vez que se produce una violación de seguridad en una solicitud, la seguridad se ve afectada en todas las solicitudes, la superficie de ataque más amplia que puede existir. También multiplica el incentivo de recompensa para un hacker, porque el valor de lo que se puede obtener por el esfuerzo aumenta drásticamente. Ambos factores están especialmente diseñados para los recursos del hacker patrocinado por la nación o el estado.

El mayor desafío para el mercado SECaaS es mantener una reputación de confiabilidad y superioridad frente a los servicios estándar que no están en la nube. SECaaS en su conjunto se ha convertido aparentemente en un pilar en el mercado de la nube. ^[12]

La seguridad de sitios web basada en la nube no satisface las necesidades de todas las empresas, y los requisitos específicos deben evaluarse adecuadamente en función de las necesidades individuales. ^[13] Las empresas que atienden a los consumidores finales no pueden permitirse el lujo de mantener sus datos sueltos y vulnerables a los ataques de piratas informáticos. La parte más importante de SECaaS es la educación de las empresas. Dado que los datos son el mayor activo de las empresas, ^[14] corresponde a los CIO y CTO ocuparse de la seguridad general de la empresa.

Véase también

• Seguridad de aplicaciones web
• Servicio de seguridad gestionado
• Computación en la nube
• como un servicio

Referencias

1. Olavsrud, Thor (26 de abril de 2017). "El modelo de seguridad como servicio gana terreno". cio.com . Consultado el 22 de junio de 2017 .
2. "Seguridad como servicio". techopedia . Consultado el 10 de junio de 2017 .
3. Furfaro, A.; Garro, A.; Tundis, A. (1 de octubre de 2014). "Hacia la seguridad como servicio (SecaaS): sobre el modelado de servicios de seguridad para computación en la nube". Conferencia Internacional Carnahan sobre Tecnología de Seguridad (ICCST) de 2014. págs. 1–6. doi :10.1109/CCST.2014.6986995. ISBN 978-1-4799-3530-7. Número de identificación del sujeto  17789213.
4. "Pruebas de penetración como servicio". PENTESTON . Consultado el 20 de junio de 2017 .
5. "Definición de Seguridad como Servicio".
6. "La seguridad como servicio se ha convertido en una obviedad" . Consultado el 24 de septiembre de 2015 .
7. "blog de cloudbric: ¿Quién está detrás de los ataques DDoS y cómo puede proteger su sitio web?". blog.cloudbric.com . Consultado el 24 de septiembre de 2015 .
8. "Seguridad como servicio, basada en la nube en auge (Parte 1)". Archivado desde el original el 15 de agosto de 2014. Consultado el 21 de septiembre de 2015 .
9. Cloud Security Alliance. «Categorías definidas de seguridad como servicio» (PDF) . Cloud Security Alliance . Consultado el 5 de junio de 2017 .
10. "blog de cloudbric: Guía para principiantes sobre seguridad como servicio (SECaaS)". blog.cloudbric.com . Consultado el 24 de septiembre de 2015 .
11. "La nube es segura y rentable para el almacenamiento de datos críticos. No, en serio. - Peak 10" . Consultado el 21 de septiembre de 2015 .
12. "La seguridad como servicio se ha convertido en una obviedad" . Consultado el 24 de septiembre de 2015 .
13. "Nube vs. Centro de datos: ¿Cuál es la diferencia?" . Consultado el 21 de septiembre de 2015 .
14. "Por qué la seguridad como servicio [SECaaS] será el mayor activo para cualquier CIO o CTO en la actualidad" . Consultado el 22 de marzo de 2016 .

Enlaces externos

• Grupo de trabajo de seguridad como servicio