CyberArk Glossary >

SaaS (software como servicio)

El software como servicio (SaaS) es un modelo de concesión de licencias y distribución de software en el que un proveedor de servicios aloja aplicaciones y las pone a disposición de los clientes a través de Internet. El SaaS, también conocido como «software a la carta», «software alojado» y «software basado en web», es uno de los tres componentes principales de la informática en la nube, uno de los elementos fundamentales de la transformación digital. Otros componentes de la informática en la nube son la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS).

La mayoría de las ofertas de SaaS se basan en una arquitectura multiinquilino. Esto significa que se ofrece una única versión de la aplicación a todos los usuarios. Los clientes pueden modificar las opciones de configuración para optimizar las funcionalidades y el aspecto, y también pueden personalizar los componentes del software para responder a sus casos de uso específicos, cuyo mantenimiento se realiza mediante actualizaciones. Sin embargo, los usuarios no pueden cambiar la infraestructura y el código subyacentes comunes de las aplicaciones SaaS.

Ejemplos de SaaS

Hay dos tipos principales de SaaS: SaaS vertical y SaaS horizontal.

  • SaaS vertical. Atiende una necesidad de un sector específico, como el software de historia clínica electrónica (EMR) para la asistencia sanitaria o el software de gestión financiera para la banca o las aseguradoras.
  • SaaS horizontal. Responde a necesidades de todos los sectores, como el software de correo electrónico y colaboración, el software de gestión de recursos humanos (HRM), el software de gestión de relaciones con el cliente (CRM), el software de planificación de recursos empresariales (ERP) y el software de ciberseguridad.

 Ventajas del SaaS

  • Ahorro de costes. Los modelos de SaaS se venden como suscripciones de pago por uso, de modo que las organizaciones pueden minimizar los costes iniciales de implementación, como los cargos de concesión de licencias e instalación. Pueden comenzar con una pequeña inversión y un plan de suscripción mínimo que puede irse ampliando a más usuarios y casos de uso según sea necesario.
  • Fácil de usar. Las aplicaciones SaaS no las instala y mantiene el usuario, sino que son accesibles a través de un navegador web o de un terminal de cliente ligero, independientemente del dispositivo o la ubicación. El proveedor SaaS gestiona la disponibilidad, el rendimiento, el mantenimiento continuo, las actualizaciones y parches y la seguridad de la propia nube.
  • Eficiencia operativa. Dado que las aplicaciones se alojan en la nube, los equipos internos pueden eliminar las tareas relacionadas con la gestión de la infraestructura que llevan mucho tiempo y volver a centrarse en las competencias básicas del negocio. Además, el SaaS requiere muy poca o ninguna capacidad informática o de almacenamiento por parte de la organización del usuario, lo que ayuda a ahorrar recursos.
  • Los servicios SaaS se pueden ampliar o reducir fácilmente y se puede acceder a funciones adicionales bajo demanda. Esto beneficia a las organizaciones con necesidades cíclicas, a las que crecen rápidamente y a las que deben reducirse a medida que cambian las necesidades y los presupuestos.
  • Fácil de integrar. La popularidad de las ofertas de SaaS, junto con la estandarización de la tecnología de API, ha creado un aumento de las integraciones y «mashups» que combinan datos, presentación y funcionalidad de múltiples servicios para satisfacer las necesidades cambiantes de los clientes y ofrecer los mejores servicios de seguridad en la nube.

Retos de seguridad del SaaS

Una encuesta realizada por CyberArk en 2019 a más de 1000 organizaciones mundiales reveló que la razón principal por la que las organizaciones se pasan a la nube es la seguridad. Asimismo, más de un tercio de los encuestados creen que la carga del riesgo relacionado con la seguridad de la información recae total o parcialmente en el proveedor de la nube.

Aunque los proveedores de SaaS se centran en la seguridad de la infraestructura en la nube, reconocen públicamente que solo pueden ofrecer una solución de seguridad parcial y hacen hincapié en la colaboración en materia de seguridad. Por ejemplo, Microsoft insiste en un modelo de responsabilidad compartida, que divide las tareas de seguridad entre el proveedor de la nube y el cliente de la nube. Microsoft señala que, independientemente del tipo de despliegue en la nube, el cliente de la nube siempre es responsable de proteger sus datos e identidades, los recursos locales y los componentes de la nube que controla.

La Agencia Nacional de Seguridad (NSA) de EE. UU. también brinda orientación sobre cómo compartir las responsabilidades de seguridad en la nube.

En una directiva de enero de 2020, la NSA destaca que «[Cloud service providers (CSPs)] son responsables de proteger la infraestructura en la nube, así como de implementar controles lógicos para separar los datos de los clientes. Los administradores de las organizaciones suelen encargarse de configurar la seguridad de las aplicaciones (por ejemplo, los controles de acceso para la autorización de datos). Muchos CSP ofrecen herramientas de configuración y sistemas de monitorización para la seguridad en la nube, pero los clientes de la nube son los responsables de configurar el servicio de acuerdo con los requisitos de seguridad de la organización».

En el caso de una filtración de datos, es la organización del cliente y no el proveedor de la nube quien se hace responsable y debe responder ante los reguladores, los clientes y otros interesados. Así, las organizaciones deben examinar y comprender esta división de responsabilidades y tomar medidas para proteger el acceso con privilegios a los datos e información confidenciales alojados en las aplicaciones SaaS y otros entornos en la nube.

Más información sobre SaaS

 

OTRAS ENTRADAS AL GLOSARIO