[ad_1]
La semana pasada, la empresa de computación en la nube Shadow confirmó una violación de datos que involucra información personal de los clientes. El hacker afirma tener acceso a los datos de más de 530.000 clientes. Según un correo electrónico del CEO de Shadow, Eric Sèle, el hacker logró descargar estos datos de la API de un proveedor de software como servicio (SaaS). Este es sólo un ejemplo reciente de una larga lista de filtraciones de datos que han afectado a empresas de todos los tamaños.
Y si usted es un director ejecutivo de tecnología, probablemente no quiera estar en esa posición. En el panorama regulatorio actual, a menudo es necesario notificar a los responsables de protección de datos y cumplir con las obligaciones regulatorias. Más importante aún, perderá la confianza de sus clientes si les informa de la infracción.
Por eso Zygon me llamó la atención. Esta nueva startup francesa revisa todas las aplicaciones SaaS utilizadas por su equipo y no solo se centra en los servicios oficiales, sino que también puede identificar servicios SaaS en la sombra que algunos equipos han estado usando silenciosamente sin informar a TI.
Al principio pensé que Zygon podría ser particularmente útil como servicio de ahorro de costos. Dado que muchas empresas de capital de riesgo todavía cierran acuerdos que habrían tenido sentido hace unos años, algunas nuevas empresas están revisando activamente sus contratos de SaaS para ver si pueden cancelar algunas suscripciones y extender su plazo.
Pero la startup quiere ir más allá de este uso inicial y crear una startup de seguridad para sus servicios SaaS. Zygon cerró recientemente una ronda inicial de 3 millones de dólares, con Axeleo Capital liderando la ronda, Kima Ventures y varios inversores ángeles también participando.
Visibilidad de la TI en la sombra
Después del proceso de inventario inicial, los clientes de Zygon reciben un panel con todas las aplicaciones SaaS y la cantidad de usuarios por aplicación.
«Utilizamos los metadatos de los correos electrónicos de los empleados, revisamos todo el historial de correos electrónicos e identificamos aquellos que están relacionados con el uso de SaaS», me dijo Kevin Smouts, cofundador y director de producto de Zygon.
Para aplicaciones SaaS que están conectadas a la solución oficial de gestión de identidades como Okta, Zygon no será particularmente útil. Sin embargo, algunas nuevas empresas de SaaS han tenido particularmente éxito en los últimos años porque solo lleva unos minutos crear una cuenta y comenzar.
Aprovechan esto impulsando la adopción ascendente con planes freemium, uso de autoservicio y funciones de viralidad. Dropbox, Zoom y Notion son ejemplos populares de esta tendencia.
Y la proliferación de SaaS presenta a las empresas tres problemas distintos: seguridad, legal y costo.
En lugar de crear una integración con todos los productos SaaS del mundo, Zygon adopta el mismo enfoque y descentraliza la seguridad en toda la empresa. Zygon recomienda que designe administradores de SaaS. A partir de ahora, son responsables del uso de una herramienta específica en la organización.
Obtenga recomendaciones sobre tareas de configuración de seguridad, autenticación multifactor y más. Las aplicaciones populares permiten a los departamentos de TI asumir el rol de administradores, priorizar la adopción de la autenticación SSO para controlar la orquestación de cuentas y más.
En términos más generales, Zygon ofrece cierto control sobre el uso de SaaS. Si alguien tiene varias cuentas en el mismo servicio, Zygon puede denunciarlo. Si varios empleados comparten una cuenta, Zygon también puede detectarlo. Y si una organización quiere cumplir con los marcos SOC 2 e ISO, Zygon puede mitigar los riesgos minimizando la superficie de ataque.
Zygon puede resultar especialmente útil cuando alguien renuncia o hay una ola de despidos. Se pueden enumerar los beneficios que siguen activos incluso después de que un empleado deja la empresa.
“En la situación actual, TI sólo tiene control sobre una cantidad muy pequeña de aplicaciones SaaS. Y la mayoría de las cuentas permanecen activas durante mucho tiempo después de que los empleados se van; en el contexto actual de despidos, se trata de enormes agujeros de seguridad. «Vamos un paso más allá al identificar qué aplicaciones SaaS tienen API o claves de acceso que también deben» rotarse «en caso de que un empleado se vaya», dijo Smouts.
[ad_2]