HYCU ha anunciado las conclusiones del recién publicado informe “HYCU State of SaaS Resilience Report 2025”, una encuesta global realizada a 500 responsables de la toma de decisiones en el ámbito de las Tecnologías de la Información. Las conclusiones ponen de manifiesto que la adopción del SaaS y los incidentes cibernéticos están aumentando, mientras que la resiliencia de los datos está muy por detrás de las necesidades de las empresas.
Según el informe recién publicado, el 87% de las empresas encuestadas tienen al menos una aplicación SaaS crítica en peligro debido a una protección inadecuada, y el 65% de las empresas sufrieron una infracción relacionada con SaaS el año anterior.
«La magnitud de las disrupciones que están sufriendo las organizaciones es reveladora y alarmante», afirma Simon Taylor, fundador y CEO de HYCU. «Son demasiadas las que siguen sin protección, ajenas a los riesgos hasta que es demasiado tarde. Este trabajo independiente subraya la urgencia del cambio».
SaaS: El nuevo punto ciego de la ciberresiliencia
Según los encuestados, las organizaciones utilizan ahora una media de 139 aplicaciones SaaS, y muchas organizaciones con visión de futuro implementan más de 200. La introducción de cada nueva aplicación genera nuevos datos, nuevos permisos y nuevas vulnerabilidades. A medida que crecen las carteras de SaaS, también lo hace la exposición.
El informe revela un cisma entre el riesgo y la gestión del riesgo desde las TI:
• El 65% de las organizaciones se vieron afectadas por una brecha relacionada con SaaS en los últimos 12 meses, con 405.770 dólares como coste medio diario del tiempo de inactividad de SaaS, lo que suma 2,3 millones de dólares en un periodo de recuperación de 5 días.
• El 87% admite que tiene al menos una aplicación SaaS en peligro debido a una protección inadecuada.
• Sólo el 56% de las aplicaciones SaaS están bajo el control del departamento de TI
• El 43% de los encuestados admite que nadie es realmente dueño de la resiliencia de los datos de SaaS.
«La mayoría de las organizaciones asumen que sus proveedores de SaaS tienen cubierta la recuperación. Pero en la práctica, se trata de una responsabilidad compartida y, con demasiada frecuencia, nadie se hace cargo de ella», afirma Taylor.
Un peligroso malentendido de la responsabilidad
Una de las conclusiones más preocupantes: el 66 % de los encuestados cree que sus proveedores de SaaS son los únicos responsables de proteger sus datos, pero más de la mitad admite que no confía en las capacidades de los proveedores. Entre aquellos que entienden que la resiliencia de los datos es su responsabilidad, seguimos observando un número lamentablemente bajo de organizaciones que implementan las mejores prácticas de protección de datos SaaS, con una minoría reconocida de organizaciones que siguen principios básicos como la regla 3-2-1. La encuesta reveló que, de todos los encuestados, solo:
• El 70% no realiza copias de seguridad basadas en políticas para algunas aplicaciones
• El 74% no conserva los datos fuera de sus instalaciones
• El 75% no comprueba regularmente la resiliencia
Esto hace que la gran mayoría no esté preparada para hacer frente a ciberamenazas, fallos de integración, pequeñas interrupciones o borrado accidental o malintencionado de datos.
«La idea de que no se pueden perder datos en SaaS está peligrosamente desfasada», afirma Taylor. «Ya no hablamos sólo de copias de seguridad. Se trata de la continuidad del negocio. De recuperación. Sobre si tu negocio puede funcionar el día después de una brecha».
Aplicaciones empresariales en el punto de mira
Los encuestados destacaron aplicaciones de misión crítica como GitHub, Salesforce, Microsoft 365, Box y Slack, plataformas que están profundamente integradas, son ampliamente accesibles y a menudo esenciales para las operaciones diarias. Una ciberamenaza disruptiva en una sola de ellas puede afectar a toda la organización.
El camino a seguir: La recuperación es lo primero
Como deja claro el informe, la resiliencia no consiste en bloquear todas las amenazas, sino en recuperarse rápidamente cuando éstas se abren paso. Es decir:
• Saber exactamente cuántas aplicaciones SaaS se utilizan
• Automatización de las copias de seguridad con copias seguras y externas, separadas del proveedor de SaaS
• Ser capaz de recuperarse con precisión de los errores, las amenazas e incluso del compromiso de la cadena de suministro
“La resistencia solía significar evitar el fracaso. Ahora significa recuperarse rápidamente cuando el fracaso es inevitable”, añadió Taylor. “Este informe es una llamada de atención. Es hora de dejar de tratar el SaaS como un problema ajeno. Porque cuando se produce la brecha, son tus datos los que están en juego”.
