Los equipos de seguridad pueden evaluar las políticas de los proveedores sobre manejo de datos, respuesta a incidentes, regionalización de datos y privacidad. Pueden evaluar un acuerdo de nivel de servicio para aspectos como disponibilidad y métricas de seguridad. También pueden examinar la cultura y las prácticas de seguridad del proveedor, incluidas las auditorías de terceros, y confirmar funciones como la autenticación multifactor y la recuperación de datos. Idealmente, las empresas deberían realizar evaluaciones de seguridad de estos productos en tiempo real y ser lo más exhaustivas posible. «Para soluciones SaaS de alto riesgo, los proveedores pueden estar sujetos a un ejercicio de equipo rojo para mayor solidez», dice Gibbons.
Dumitru está de acuerdo. «Si bien pocos SaaS aceptarán someterse a una prueba de penetración, sigue siendo una pregunta que vale la pena plantearse», afirma. «Es una buena señal si un SaaS es capaz de responder a todas las preguntas sobre protección de datos y seguridad de la información y proporciona detalles sobre cómo protege los datos, garantiza la disponibilidad y la recuperación ante desastres».
Lamentablemente, según Manor, incluir equipos de seguridad en el proceso de adquisición no es muy práctico en muchos casos. «Muchos de los SaaS que se utilizan hoy en día siguen la metodología Product Lead Growth, que permite al usuario utilizar el producto de forma gratuita antes de comprarlo, o por un precio muy bajo», añade Manor. «Como tal, muchos servicios SaaS se están utilizando en la organización antes de llegar a la fase de adquisición, y entonces podría ser demasiado tarde para dar marcha atrás».
Una forma de abordar esto es hacer que los equipos de seguridad vigilen los productos SaaS en todo momento, no solo durante el proceso de adquisición. «La supervisión del SaaS utilizado es más importante que controlar lo que se va a utilizar», afirma Manor. «Por lo general, lo correcto es utilizar un producto que le ayude a realizar un seguimiento del riesgo de los diferentes servicios SaaS que se utilizan en su organización».
Otra vía sería buscar proveedores de SaaS más éticos. «La mejor solución al problema es reinventar SaaS, un servicio a la vez», afirma Nathan. «Tener [vendors say] Le proporcionaremos el software como un servicio sobre los datos que posee y controla dondequiera que guarde los datos, y no los veremos. Esa es la novedad que está surgiendo y, en cinco años, creo que el software como servicio se reinventará”.