La seguridad como servicio (SECaaS o SaaS) es un modelo comercial en el que un proveedor de servicios integra sus servicios de seguridad en una infraestructura corporativa mediante suscripción de manera más rentable que la que la mayoría de las personas o corporaciones pueden proporcionar por su cuenta, cuando el costo total de propiedad es considerado. [1] SECaaS se inspira en el modelo de " software como servicio " aplicado a los servicios de seguridad de la información y no requiere hardware local, lo que evita importantes desembolsos de capital. [2] [3] Estos servicios de seguridad a menudo incluyen la autenticación , anti-virus , anti-malware/ software espía, detección de intrusos , pruebas de penetración [4] y gestión de eventos de seguridad, entre otros. [5]
Las licencias de seguridad subcontratadas y la entrega se jactan de un mercado multimillonario. [6] SECaaS proporciona a los usuarios servicios de seguridad en Internet que brindan protección contra amenazas y ataques en línea, como DDoS, que buscan constantemente puntos de acceso para comprometer sitios web. [7] A medida que se dispara la demanda y el uso de la computación en la nube , los usuarios son más vulnerables a los ataques debido al acceso a Internet desde nuevos puntos de acceso . SECaaS sirve como un búfer contra las amenazas en línea más persistentes. [8]
Categorías de SECaaS
El Cloud Security Alliance (CSA) es una organización que se dedica a la definición y la sensibilización de la computación en nube segura. Al hacerlo, la CSA ha definido las siguientes categorías de herramientas SECaaS y ha creado una serie de documentos de orientación técnica y de implementación para ayudar a las empresas a implementar y comprender SECaaS. [9] Estas categorías incluyen:
- Continuidad empresarial y recuperación ante desastres (BCDR o BC / DR)
- Monitoreo continuo
- Prevención de pérdida de datos (DLP)
- Seguridad del correo electrónico
- Cifrado
- Gestión de identidades y accesos (IAM)
- Manejo de intrusiones
- Seguridad de la red
- Evaluacion de seguridad
- Gestión de eventos e información de seguridad (SIEM)
- Escaneo de vulnerabilidades
- Seguridad web
Modelos SECaaS
Los SECaaS se ofrecen normalmente en varias formas:
- Suscripción
- Pago por servicios utilizados
- Freeware, algunas funciones gratuitas para adiciones tienen que pagar: los ejemplos incluyen AWS , nmap.online , IBM Cloud
- Gratis: los ejemplos incluyen Cloudbric , CloudFlare e Incapsula .
Beneficios
La seguridad como servicio ofrece una serie de beneficios, [10] que incluyen:
- Reducción de costos: SECaaS alivia las restricciones financieras y las cargas para las empresas en línea, integrando servicios de seguridad sin hardware local o un gran presupuesto. El uso de un producto de seguridad basado en la nube también evita la necesidad de costosos expertos y analistas en seguridad. [11]
- Protección consistente y uniforme: los servicios SECaaS brindan protección continua ya que las bases de datos se actualizan constantemente para brindar una cobertura de seguridad actualizada. También alivia el problema de tener infraestructuras separadas, en lugar de combinar todos los elementos en un sistema manejable.
- Actualizaciones constantes de definiciones de virus que no dependen del cumplimiento del usuario
- Mayor experiencia en seguridad de la que normalmente se encuentra disponible dentro de una organización
- Aprovisionamiento de usuarios más rápido
- Subcontratación de tareas administrativas, como la gestión de registros, para ahorrar tiempo y dinero y permitir que una organización dedique más tiempo a sus competencias básicas.
- Una interfaz web que permite la administración interna de algunas tareas, así como una vista del entorno de seguridad y las actividades en curso.
Desafíos
SECaaS tiene una serie de deficiencias que lo hacen inseguro para muchas aplicaciones. Cada solicitud de servicio de seguridad individual agrega al menos un viaje de ida y vuelta a través de la red (sin contar los paquetes de instalación), cuatro oportunidades para que el pirata informático intercepte la conversación:
- En el punto de conexión de envío subiendo
- En el punto de conexión de recepción subiendo
- En el punto de envío para la devolución; y
- En el punto de recepción para la devolución.
SECaaS hace que todo el manejo de la seguridad sea uniforme de modo que una vez que hay una brecha de seguridad para una solicitud, la seguridad se rompe para todas las solicitudes, la superficie de ataque más amplia que pueda haber. También multiplica el incentivo de recompensas para un pirata informático porque el valor de lo que se puede ganar por el esfuerzo aumenta drásticamente. Ambos factores se adaptan especialmente a los recursos del pirata informático patrocinado por la nación o el estado.
El mayor desafío para el mercado SECaaS es mantener una reputación de confiabilidad y superioridad con respecto a los servicios estándar que no son en la nube. SECaaS en su conjunto aparentemente se ha convertido en un pilar en el mercado de la nube. [12]
La seguridad del sitio web basada en la nube no se adapta a todas las empresas, y los requisitos específicos deben evaluarse adecuadamente según las necesidades individuales. [13] Las empresas que atienden a los consumidores finales no pueden permitirse mantener sus datos sueltos y vulnerables a los ataques de piratas informáticos. La parte más pesada de SECaaS es educar a las empresas. Dado que los datos son el mayor activo para las empresas, [14] corresponde a los CIO y CTO cuidar de la seguridad general de la empresa.
Ver también
Referencias
- ^ Olavsrud, Thor (26 de abril de 2017). "El modelo de seguridad como servicio gana terreno" . cio.com . Consultado el 22 de junio de 2017 .
- ^ "Seguridad como servicio" . techopedia . Consultado el 10 de junio de 2017 .
- ^ Furfaro, A .; Garro, A .; Tundis, A. (1 de octubre de 2014). "Hacia la Seguridad como Servicio (SecaaS): Sobre el modelado de Servicios de Seguridad para Cloud Computing". 2014 Conferencia internacional de Carnahan sobre tecnología de seguridad (ICCST) : 1–6. doi : 10.1109 / CCST.2014.6986995 . ISBN 978-1-4799-3530-7.
- ^ "Ensayos de penetración como servicio" . PENTESTON . Consultado el 20 de junio de 2017 .
- ^ "Definición de Seguridad como Servicio" .
- ^ "La seguridad como servicio realmente se ha convertido en una obviedad" . Consultado el 24 de septiembre de 2015 .
- ^ "blog de cloudbric: ¿Quién está detrás de los ataques DDoS y cómo puede proteger su sitio web?" . blog.cloudbric.com . Consultado el 24 de septiembre de 2015 .
- ^ "Seguridad como servicio, basada en la nube en aumento (parte 1)" . Archivado desde el original el 15 de agosto de 2014 . Consultado el 21 de septiembre de 2015 .
- ^ Alianza de seguridad en la nube. "Categorías definidas de seguridad como servicio" (PDF) . Alianza de seguridad en la nube . Consultado el 5 de junio de 2017 .
- ^ "blog de cloudbric: Guía para principiantes de seguridad como servicio (SECaaS)" . blog.cloudbric.com . Consultado el 24 de septiembre de 2015 .
- ^ "La nube es segura y rentable para el almacenamiento de datos críticos. No, de verdad. - Pico 10" . Consultado el 21 de septiembre de 2015 .
- ^ "La seguridad como servicio realmente se ha convertido en una obviedad" . Consultado el 24 de septiembre de 2015 .
- ^ "Nube vs. Centro de datos: ¿Cuál es la diferencia?" . Consultado el 21 de septiembre de 2015 .
- ^ "Por qué la seguridad como servicio [SECaaS] será el activo más importante para cualquier CIO o CTO en la actualidad" . Consultado el 22 de marzo de 2016 .
enlaces externos
- Grupo de trabajo sobre seguridad como servicio