Cómo hacer un inventario de las herramientas SaaS y subsanar las deficiencias en materia de gobernanza

Las herramientas SaaS que tu equipo de seguridad aún no conoce

Los departamentos implementan herramientas SaaS por su cuenta. Las plataformas de marketing, los sistemas CRM, los sistemas de recursos humanos y el software de facturación se incorporan al entorno sin que el departamento de TI o de seguridad los haya revisado. Cada herramienta no verificada supone un punto de acceso no controlado a la infraestructura y los datos de la empresa.

Los equipos distribuidos agravan el problema. Cuanto más grande es la empresa, más difícil resulta mantener una visión global de todas las regiones, departamentos y funciones. Los equipos de seguridad no pueden proteger contra lo que no ven. El riesgo se acumula precisamente en la brecha que existe entre las herramientas que se utilizan y las que están sometidas a control.

No se trata de un problema de personal. Se trata de una deficiencia en la gestión, que crece a un ritmo más rápido del que la mayoría de los equipos de seguridad pueden controlar.

Qué incluye un inventario de herramientas

Un inventario de herramientas es un registro documentado de todas las herramientas SaaS que se utilizan en la empresa. En él se indica, para cada herramienta, el proveedor, el responsable, los usuarios, la finalidad, los costes, los contratos, el estado de seguridad y las integraciones.

Además, es un registro en constante evolución. Las herramientas cambian, los contratos caducan y los equipos adoptan nuevas plataformas sin avisar al departamento de TI. Un inventario que no se actualiza de forma activa deja de ser preciso en cuestión de meses.

Argumentos a favor de la visibilidad de las herramientas en materia de seguridad y cumplimiento normativo

Las herramientas no autorizadas crean puntos de acceso no supervisados. Los equipos de seguridad no pueden investigar, controlar ni retirar del servicio herramientas cuya existencia desconocen.

Los marcos de cumplimiento exigen pruebas de control. Las normas PCI DSS, el RGPD, la POPIA y las normas ISO exigen a las organizaciones que demuestren que ejercen un control sobre los sistemas que acceden a los datos de la organización o los procesan. Sin un inventario de herramientas, esas pruebas no existen.

Los comités de auditoría y los consejos de administración exigen cada vez más pruebas de que se supervisa el uso de herramientas de terceros. Los equipos de seguridad y de TI que carecen de un inventario centralizado no pueden demostrar el cumplimiento normativo, ni responder a los incidentes con la rapidez y precisión que esperan los auditores.

Cómo hacer un inventario de herramientas SaaS

La creación de un inventario de herramientas requiere un proceso claro y una ejecución coherente.

Paso 1: Definir el alcance

Identifica todos los departamentos y regiones. Un inventario de herramientas que solo los equipos gestionados de forma centralizada en la empresa es incompleto.

Paso 2: Recopilar la información de la que ya se dispone

Recopila las listas de herramientas aprobadas por los departamentos de compras, TI y finanzas. Esta es la referencia inicial. Rara vez ofrece una visión completa.

Paso 3: Identificar las herramientas que no figuran en la lista aprobada

El departamento de auditoría recopila datos y los coteja con la actividad de la red, los registros de compras y los contratos con los proveedores. Es habitual que existan discrepancias entre lo que sabe el departamento de TI y lo que utilizan los equipos. Esas discrepancias constituyen los hallazgos más importantes del inventario.

Paso 4: Clasificar cada herramienta

Asigna un estado a cada herramienta identificada: «Autorizada y regulada», «Autorizada pero sin supervisión activa» o «No autorizada». La clasificación determina las prioridades de corrección. Sin ella, todo parece igual de urgente, lo que significa que no se lleva a cabo ninguna acción.

Paso 5: Establecer un proceso de revisión

Un inventario de herramientas se queda obsoleto si no se cuenta con un proceso para mantenerlo. Establece una periodicidad de revisión y un procedimiento claro para evaluar las nuevas herramientas antes de incorporarlas. Este paso evita que el inventario quede obsoleto tan rápido como se ha creado.

Los equipos de seguridad y de TI que deben gestionar prioridades contrapuestas son los que más se benefician de un proceso ágil y repetible. El objetivo no es conseguir un inventario perfecto desde el primer día, sino un proceso que mejore la visibilidad con el tiempo sin aumentar la carga de trabajo interna.

Cómo Sendmarc te ofrece visibilidad sobre todas las herramientas que envían mensajes desde tu dominio

Obtener visibilidad sobre las herramientas SaaS es una parte de una estrategia de gobernanza más amplia. Para las empresas que gestionan la seguridad del correo electrónico, las herramientas que operan en nombre de un dominio constituyen una categoría específica y de alto riesgo.

Sendmarc muestra todas las herramientas que operan en nombre de un dominio, incluidas aquellas que no aparecen en las configuraciones actuales. Esto ofrece a los equipos de seguridad y de TI una visión clara de qué remitentes están activos, cuáles no están autorizados y cuáles están mal configurados.

Todos los dominios gestionados en la plataforma Sendmarc son visibles, no solo dominio principal. Para las grandes empresas que gestionan múltiples dominios en distintas regiones y equipos, esto elimina un importante punto ciego.

Las empresas pueden identificar a los remitentes no autorizados, aplicar un control centralizado en los departamentos de marketing, recursos humanos y finanzas, y evitar que los departamentos utilicen herramientas no autorizadas que comprometan la autenticación del correo electrónico.

Descubre cómo Sendmarc te ofrece visibilidad sobre todas las herramientas que se utilizan en todos tus dominios, incluidas aquellas cuya existencia desconocía tu equipo de seguridad.